Cumplimiento de PCI de un proveedor de SaaS

0

Nosotros (comerciante) utilizaremos un SaaS para vender módulos de aprendizaje y aceptar pagos con tarjeta de crédito a través de una redirección a un proveedor de servicios que procesará los pagos con tarjeta de crédito. El SaaS será alojado por los servicios web de Amazon.

En caso de que el proveedor de SaaS deba ser compatible con PCI (porque desde PCI v.3.1, aquellos que redireccionan están dentro del alcance). ¿O debería ser el sujeto de conformidad con PCI el usuario de Amazon que alojará los Saas?

    
pregunta Raul Ramos 16.10.2018 - 20:15
fuente

1 respuesta

2

Hay 3 elementos que debe tener en cuenta con el modelo de negocio que describe:

  1. Amazon debe ser compatible con PCI porque operan la infraestructura detrás de las compañías que aceptan tarjetas de débito, crédito o prepago. No se preocupe aquí porque, de hecho, Amazon es compatible con PCI ( enlace )
  2. Su proveedor de SaaS de comercio electrónico también debe ser compatible con PCI. Dependiendo del proveedor con el que haya firmado un contrato, es posible que también deban realizar una exploración ASV para detectar vulnerabilidades. Solo puedo suponer que su proveedor no procesará ni almacenará los datos de pago, solo los transmitirá al procesador de pagos de terceros. En cualquier caso, esa es la responsabilidad de su proveedor, así que elija a su proveedor con cuidado. (Si desea obtener más información sobre esto, consulte esta tabla enlace )
  3. El procesador de datos de pago de terceros, obviamente, tiene que ser PCI Complaint (y probablemente lo sea, por lo que no hay necesidad de profundizar aquí).

No hace falta decir que si su compañía (proveedor de SaaS aparte) procesa, transmite o almacena datos de pago en las instalaciones o por teléfono o de cualquier otra forma en la que se encuentre en su modelo de negocio, también debe cumplir con la norma PCI.

    
respondido por el franpen 16.10.2018 - 21:09
fuente

Lea otras preguntas en las etiquetas