Estoy tratando de encontrar una aclaración con respecto a PCI Compliance SAQ A-EP y las soluciones de alojamiento de terceros.
Para lograr el cumplimiento de SAQ A-EP PCI utilizando "Hosting Company A", ¿es necesario que "Hosting Company A" sea un proveedor de servicios certificado que cumpla con las normas de PCI?
No dude en ampliar su respuesta según sea necesario, pero lo que espero encontrar es una respuesta de Sí o No y "por qué".
Sí, SAQ A-EP requiere que su proveedor de alojamiento esté validado con todos los requisitos aplicables de PCI DSS .
Para citar el SAQ A-EP (énfasis mío):
Los comerciantes de SAQ A-EP confirman que, para este canal de pago:
...
- Si el sitio web de un comerciante es alojado por un proveedor externo, el proveedor está validado para todos los requisitos aplicables de las PCI DSS (por ejemplo, incluido el Apéndice A de PCI DSS si el proveedor es un alojamiento compartido proveedor);
- Todos los elementos de las páginas de pago que se envían al navegador del consumidor se originan en el sitio web del comerciante o en un PCI DSS. proveedor (es) de servicio compatible (s);
Lea otras preguntas en las etiquetas pci-dss e-commerce pci-scope