En nuestra aplicación, solo transferimos los datos del titular de la tarjeta a un proveedor de servicios compatible con PCI DSS, y no los almacenamos nosotros mismos. Solo almacenamos los primeros cuatro y los últimos cuatro dígitos del número de tarjeta de crédito para futuras referencias:
1234 **** **** 1234
Tenemos más de 300.000 transacciones anuales, por lo que nuestro SP nos obligó a completar un formulario SAQ, pero incluso no están seguros de cuál rellenar. Estamos entre SAQ D (que definitivamente parece una exageración) y SAQ A-EP . ¿Algún pensamiento?
Actualizar:
Recopilamos la información en nuestro sitio web. Obtenemos la información en un formulario, que publicamos en nuestro backend. Luego, el backend transmite la información del titular de la tarjeta al SP compatible con PCI y solo almacena la máscara anterior en la base de datos.