PCI DSS 3.1 :
PCI DSS también se aplica a todas las demás entidades que almacenan, procesan o
transmitir datos del titular de la tarjeta (CHD) y / o datos confidenciales de autenticación
(SAD).
Por lo tanto, si su aplicación web está aceptando los detalles de la tarjeta de crédito de un cliente y luego los retransmite a su pasarela de pago, entonces usted está sujeto al PCI DSS y debe completar un Cuestionario de autoevaluación (SAQ) o auditado (según el volumen). No importa si no está registrando los detalles de la tarjeta; Si se transmiten a través de su servidor, entonces usted está en el alcance. Incluso si su página web simplemente tiene un iframe para que sus clientes puedan ingresar sus datos directamente en la pasarela de pago, todavía está dentro del alcance.
Hay diferentes SAQ según la cantidad de datos de la tarjeta. El más simple es SAQ-A (usado para la solución de marco antes mencionado) o SAQ-A-EP para otros tipos de redireccionamiento. Si los datos de la tarjeta fluyen a través de su servidor, está buscando en SAQ-D. Aquí hay una buena enlace que describe los matices de las configuraciones que llevan a cada SAQ.