Cumplimiento de PCI SAQ-A-EP o SAQ D

3

Nuestro sitio web de comercio electrónico wesbite atrae menos de 5000 transacciones de CC cada año y no almacenamos ninguna información de CC en nuestro backend o sistemas, sino que las transmitimos a nuestro proveedor externo. También utilizamos una técnica de tokenización para la facturación recurrente. Aceptamos la información de CC en nuestra página alojada segura, pero la enviamos a través de SSL a nuestro proveedor de pago externo.

Me gustaría saber si todavía podemos usar el cuestionario SAQ A-EP o si todavía necesitamos completar SAQ-D porque no usamos iFrame. También debe tener en cuenta que solo almacenamos el token de facturación que proporciona el proveedor de pago.

    
pregunta Vicky 25.08.2015 - 02:45
fuente

1 respuesta

1

IANAQSA y todas las citas de Descripción de los SAQ para PCI DSS versión 3 :

Según la información que hayas proporcionado, serías un SAQ D .

SAQ A y A-EP están descartados para usted porque no pueden tener "almacenamiento, procesamiento o transmisión electrónica de cualquier información del titular de la tarjeta en los sistemas del comerciante". Cuando dices

  

Aceptamos información de CC en nuestra página alojada segura, pero la enviamos   a través de SSL a nuestro proveedor de pago externo

Eso me dice que estás transmitiendo datos del titular de la tarjeta. Estoy interpretando "página alojada segura" como "una página web en un servidor web que usted administra que está protegido con SSL"; corrígeme si quieres decir lo contrario.

SAQ B, B-IP, C-VT, C y P2PE-HW no son aplicables a los canales de comercio electrónico, lo que parece descartar su "sitio web de comercio electrónico". Entonces, sí, se aplica SAQ D ya que usted es un "comerciante no incluido en las descripciones de los [otros] tipos de SAQ"

El hecho de que "use una técnica de tokenización" y "solo almacene el token de Facturación que proporciona el proveedor de pagos" reduce la cantidad de trabajo que implica el SAQ D. Para citar la Guía para la no aplicabilidad de ciertos requisitos específicos en SAQ D :

  

Aunque muchas organizaciones que completen SAQ D deberán validar   cumplimiento de todos los requisitos de PCI DSS, algunas organizaciones con   Los modelos de negocio muy específicos pueden encontrar que algunos requisitos no   aplicar ..... una organización que no almacena ningún dato del titular de la tarjeta   Electrónicamente en cualquier momento no necesitaría validar requerimientos.   relacionado con el almacenamiento seguro de los datos del titular de la tarjeta (por ejemplo, Requisito   3.4).

    
respondido por el gowenfawr 25.08.2015 - 13:26
fuente

Lea otras preguntas en las etiquetas