Versión corta:
Posiblemente SAQ C, pero tenga cuidado, porque SAQ D está lleno de personas que pensaron que eran SAQ C. Si usted proporcionó más información, puede que no tarde mucho en que asienta con la cabeza y le diga " Ah, sí, SAQ D. "
Versión larga:
Si no lo ha hecho, debería leer Instrucciones y pautas del cuestionario de autoevaluación de PCI DSS .
No estás SAQ A . A es para "comerciantes sin tarjeta (e-commerce o correo / pedidos por teléfono), todas las funciones de datos del titular de la tarjeta subcontratadas ". (énfasis mío). Si su servidor está aceptando un número de tarjeta, luego lo está retransmitiendo a su procesador, entonces está transmitiendo los datos de la tarjeta, que es una función de datos del titular de la tarjeta.
No eres SAQ B . B es para "comerciantes solo de impresión", es decir, comerciantes con acceso a la tarjeta física. "B" es para Brick & mortero :).
No eres SAQ C-VT . VT significa "terminales virtuales basadas en la web", lo que significa que su empleado se sienta con una computadora frente a ellos y un teléfono y los números de tarjeta que el cliente les dice; El VT actúa exactamente como el terminal en la línea de pago en su supermercado: habla con el procesador, obtiene una respuesta, no almacena los datos de la tarjeta. Si los clientes ingresan datos en su servidor web, entonces no es un VT.
Usted podría ser SAQ C . Si está enviando de inmediato solicitudes de autenticación a su procesador, nunca las almacena (como para lotes), y no tiene ningún otro sistema hablando con el sistema que está tomando tarjetas, entonces podría calificar para C. Pero el problema es ". El sistema de aplicación de pago / dispositivo de Internet no está conectado a ningún otro sistema dentro de su entorno ". Usted realmente tiene que ser un conducto mínimo como puede ser. Por cierto, aquí es donde el matiz sobre la transmisión pero no el almacenamiento puede afectarle. El almacenamiento de los datos de la tarjeta lo llevará a D, y la transmisión podría no hacerlo, si se limita adecuadamente.
Eso te deja con SAQ D , "Todos los demás comerciantes no incluidos en las descripciones de los tipos A a C de SAQ". Es el SAQ más largo, por lo que muchos casos límite creen lo suficiente como para convertirse en un SAQ C.
Pero incluso si está en SAQ D, si su procesador admite la tokenización, puede reducir su alcance respondiendo "N / A" a muchas preguntas y listándolas como su control de compensación. Por ejemplo, DSS 3.4, el requisito de cifrar los números de tarjeta, puede marcarse como N / A si nunca almacena números de tarjeta, sino que usa fichas.
<disclaimer>
I work for Litle, but you might look into their PayPage + Vault,
which gives you tokenization and allows you to avoid having card
data transit your server. Recurring payments, too, IIRC.
</disclaimer>