Estamos utilizando terminales de pago independientes (Ingenico ICT220) sobre IP y nuestro procesador de pagos (corazón) insiste en que no necesitamos hacer ningún PCI SAQ o escanear, e insisten en que nos indemnizarán si hay un incumplimiento. No puedo encontrar ninguna instancia de esto, me parece que debería estar haciendo SAQ B-IP en esta instancia y un análisis de seguridad
No estoy familiarizado con esta configuración particular de Heartland, pero suena como una solución "P2PE". En esa configuración, los terminales de pago tienen cargadas claves de cifrado especiales específicas de Heartland antes de ser enviadas, y cifran todos los datos de la tarjeta de manera que Heartland es el único que puede descifrarlos. Dado que los datos nunca atraviesan su red en una forma legible, no está en el alcance de PCI, ni siquiera en SAQ B-IP.
Dicho esto, hay un SAQ P2PE, que básicamente requiere que usted certifique que está utilizando una solución certificada P2PE y que no almacena datos de la tarjeta de ninguna otra manera. Puede leer sobre esto aquí y busque el documento real aquí .
Como Heartland (son sus adquirentes y tan responsables de los esquemas de tarjetas para su cumplimiento) dicen que no requieren nada de usted y le indemnizarán en el caso de una penalización por esquema de tarjetas que no debe hacer más, ya que siempre y cuando hayan puesto esto por escrito. Solo una auditoría de QSA le brinda protección contra las sanciones del esquema de la tarjeta (no un SAQ) y, por lo tanto, la indemnización que ofrece Heartland es tan buena para usted como una auditoría. Sé feliz con esto.
Lea otras preguntas en las etiquetas pci-dss