Actualmente estoy tratando de envolver mi cabeza en torno al cumplimiento de PCI, y lo que necesito hacer para que mi empresa cumpla con las normas. Me gustaría una confirmación de lo que he encontrado hasta ahora.
Acepto pagos en una aplicación móvil. Tomamos los detalles de pago y los pasamos a nuestro propio servicio REST (a través de HTTPS), y luego ese servicio los transfiere instantáneamente a una pasarela de pago de terceros para gestionar el pago. Recibimos confirmación, y la aplicación obtiene esa confirmación. En ningún momento almacenamos los datos de pago. Mi negocio acepta poco más de 20,000 pagos al año.
Entonces, estaría en lo correcto al decir que:
- Se debe completar un SAQ-D.
- ¿Cada trimestre necesito obtener algún tipo de escaneo de red de un ASV?
También me gustaría saber si hay otros pasos necesarios para ser compatible con PCI?
Además, si uso el SDK móvil de PayPal, ¿qué pasos adicionales (si los hubiera) tendría que seguir para ser compatible con PCI?