El almacenamiento de los datos de la tarjeta no es el factor decisivo para el alcance de las PA-DSS. Si la aplicación maneja los datos de la tarjeta, incluso si no la almacena, podría estar dentro del alcance.
Ver pág. 16 de la Guía del programa PA-DSS para "¿A qué aplicaciones se aplica PA-DSS?" sección:
enlace
En esa sección se incluye una lista de tipos de aplicaciones a las que no se aplica.
- Si se manejan los datos de la tarjeta, uno de los factores principales es si el
el software es COTS: ¿distribuye software no personalizado a
¿muchos clientes? Si es así, es probable que aplique PA-DSS.
- ¿Si está creando software personalizado para un solo cliente? PA-DSS
probablemente no se aplica.
- Si usted mismo alojará el software como un servicio y no distribuirá ningún componente, es probable que PA-DSS no se aplique. Sin embargo, puede estar dentro del alcance como proveedor de servicios y debe someterse a la validación de PCI DSS.
En caso de duda, es mejor hablar con un PA-QSA; ese es el tipo de asesor que realiza las validaciones PA-DSS. Pueden trabajar con usted para determinar si su solicitud es elegible.
He dicho "probable" en muchos de los lugares anteriores porque, dependiendo del lugar de su aplicación en la cadena de pago, ciertos modelos de tokenización, otras soluciones de "reducción de alcance", etc., puede cambiar la situación. Por ejemplo, estoy al tanto de algunas aplicaciones de pago orientadas a DTMF en las que el proveedor de la solución estaba dentro del alcance de las PCI DSS, pero no necesitaba la validación PA-DSS en su software debido al modelo de alojamiento.