Dirijo una pequeña empresa con un sitio web de comercio electrónico Prestashop que envía a los clientes a Sagepay para que realicen un pago utilizando el módulo de pago Presto Chango Sagepay.
En mi oficina también tengo una PC conectada a la interfaz DMZ de nuestro servidor de seguridad externo / borde pfsense. No hay nada más conectado a la red DMZ y todos los puertos de salida están controlados y no se permite nada. Esta única PC ejecuta Linux y se usa para acceder al terminal virtual Sagepay a través de un navegador web; para ingresar manualmente los datos de pago con tarjeta que se hacen por teléfono Muy ocasionalmente, también usamos el terminal virtual para ingresar los detalles de la tarjeta que nos entregó personalmente el titular de la tarjeta.
En total, probablemente no hagamos más de £ 150,000 de transacciones de pago con tarjeta por año.
Hasta ahora he estado usando SAQ-C-VT, pero nunca he estado seguro de que esta sea la forma correcta de usar.
Es difícil para una pequeña empresa obtener buena información no conflictiva sobre PCI DSS. Por lo tanto, ¿alguien tiene una vista en el formulario SAQ correcto que deberíamos estar usando?