IANAQSA y todas las citas de Descripción de los SAQ para PCI DSS versión 3 :
Según la información que hayas proporcionado, serías un SAQ D .
SAQ A y A-EP están descartados para usted porque no pueden tener "almacenamiento, procesamiento o transmisión electrónica de cualquier información del titular de la tarjeta en los sistemas del comerciante". Cuando dices
Aceptamos información de CC en nuestra página alojada segura, pero la enviamos
a través de SSL a nuestro proveedor de pago externo
Eso me dice que estás transmitiendo datos del titular de la tarjeta. Estoy interpretando "página alojada segura" como "una página web en un servidor web que usted administra que está protegido con SSL"; corrígeme si quieres decir lo contrario.
SAQ B, B-IP, C-VT, C y P2PE-HW no son aplicables a los canales de comercio electrónico, lo que parece descartar su "sitio web de comercio electrónico". Entonces, sí, se aplica SAQ D ya que usted es un "comerciante no incluido en las descripciones de los [otros] tipos de SAQ"
El hecho de que "use una técnica de tokenización" y "solo almacene el token de Facturación que proporciona el proveedor de pagos" reduce la cantidad de trabajo que implica el SAQ D. Para citar la Guía para la no aplicabilidad de ciertos requisitos específicos en SAQ D :
Aunque muchas organizaciones que completen SAQ D deberán validar
cumplimiento de todos los requisitos de PCI DSS, algunas organizaciones con
Los modelos de negocio muy específicos pueden encontrar que algunos requisitos no
aplicar ..... una organización que no almacena ningún dato del titular de la tarjeta
Electrónicamente en cualquier momento no necesitaría validar requerimientos.
relacionado con el almacenamiento seguro de los datos del titular de la tarjeta (por ejemplo, Requisito
3.4).