En primer lugar, no soy un QSA.
Dicho esto, porque está aceptando la información de la tarjeta de crédito directamente en su sitio (aunque no la envíe a su servidor), debe completar SAQ A-EP . Entre las cosas que certifica con ese SAQ están:
- Todo el procesamiento de los datos del titular de la tarjeta se subcontrata a un procesador de pago de terceros validado por PCI DSS
- Su sitio web de comercio electrónico no recibe datos del titular de la tarjeta, pero controla cómo se redirige a los consumidores, o sus datos del titular de la tarjeta, a un procesador de pagos de terceros validado por PCI DSS
- Su empresa no almacena, procesa ni transmite electrónicamente los datos del titular de la tarjeta en sus sistemas o instalaciones, sino que depende completamente de un tercero para manejar todas estas funciones
Tenga en cuenta que los "datos del titular de la tarjeta" no incluyen no la dirección de facturación, a pesar de que son datos sobre el titular de la tarjeta. En este contexto, significa :
Como mínimo, los datos del titular de la tarjeta consisten en el PAN completo. Los datos del titular de la tarjeta también pueden aparecer en la forma del PAN completo más cualquiera de los siguientes: nombre del titular de la tarjeta, fecha de vencimiento y / o código de servicio.
Por lo tanto, no hay problema con la publicación de la dirección en su propio sitio, siempre y cuando la información de la tarjeta no vaya con ella.