Al completar el SAQ para el cumplimiento de PCI, ¿cómo incluye los requisitos cubiertos por un proveedor externo? Digamos que está utilizando un proveedor de VPS compatible con PCI, por ejemplo.
¿Selecciona "sí" y luego incluye una referencia al AoC del tercero? ¿O se considera una medida compensatoria? ¿O simplemente no es aplicable y completa la hoja de trabajo?
Debe haber información en uno de los documentos del consejo de PCI, pero no pude encontrarla.
Puede seleccionar In Place, pero no hay ningún lugar para justificar que sea In Place y que haya subcontratado la responsabilidad. En el caso de un SAQ, es más claro seleccionar No aplicable y luego justificar las selecciones No aplicable con una declaración como:
'No se aplica, ya que la responsabilidad de cumplir con este control se ha subcontratado a X proveedor de servicios. Su AOC, con fecha dd mmm yyyy, ha sido revisado y muestra que este requisito está en vigencia ".
Lea otras preguntas en las etiquetas pci-dss