Lectura sobre PCI-DSS 3 recientemente: ¿Desea que me confirmen lo que estoy interpretando? ¿Necesita que PCI-DSS SAQ-A tenga enlaces de URL de pago o donación asociados con tarjeta de crédito en el sitio web de un comerciante?
Por ejemplo: Si una empresa o organización de beneficencia operó su página web con un botón de donación estándar de PayPal para una donación con un enlace para que PayPal acepte tarjetas de crédito, ¿su página web debe ser compatible con PCI-DSS o no?
Estoy confundido, pero esté o no incluido en SAQ-A, donde define las redirecciones de enlaces de URL.
VISA no parece incluir este escenario en su guía PCI-DSS: enlace
Si los enlaces requieren el cumplimiento de PCI-DSS, esto es bastante prohibitivo para algunas organizaciones de caridad que conozco: hospedar y mantener un sitio web que sea compatible con PCI-DSS puede ser demasiado complejo y costoso para su mantenimiento.
Como nota al margen, si la presencia de un botón de tarjeta de crédito que acepta PayPal significa que el sitio web del comerciante debe ser compatible con PCI-DSS, colocar un enlace en el propio sitio del comerciante no puede ser menos seguro que compartirlo en ¿Redes sociales (Facebook, Twitter) u otras plataformas para compartir (Twitch, tablones de anuncios / foros)? ¿Afecta esto a los enlaces URL directos a una página de pago con tarjeta de crédito de PayPal desde la página de redes sociales de un comerciante?
Mi lección a aprender puede ser tener más cuidado con los formularios de pago con tarjeta de crédito.
He comprobado otras preguntas similares pero no abordan el uso de los botones de PayPal. Una situación similar sería usar Razoo.
Editar: Después de leer un poco más, el comerciante debe prestar atención al cumplimiento de PCI-DSS. El punto de partida práctico para la autoevaluación sería SAQ A para todos los propósitos y propósitos. Falta la documentación pública de PayPal, pero he encontrado algunas recomendaciones de Recurly: enlace
Un comerciante siempre debe ser compatible con PCI si acepta pagos con tarjeta de crédito en línea (incluso si la tarjeta se ingresa en otro sitio). Si usa HPP, la recomendación de Recurly es completar SAQ A. (HPP - páginas de pago alojadas)