Tengo un producto en red que instalamos en las redes de los clientes. El dispositivo no pasa ninguno de los datos de CC, pero solo se sienta en la misma red (piense en Nest o Dropcam). Las redes de clientes a veces incluyen un dispositivo POS. Nunca recibimos, procesamos ni vemos información de la tarjeta de crédito. Sin embargo, dado que nuestro cliente es compatible con PCI, también quieren que seamos compatibles con PCI.
1) ¿El cumplimiento de PCI requiere que todos sus proveedores (es decir, yo) también sean compatibles con PCI?
2) Toda la información y los cuestionarios que he encontrado están dirigidos específicamente a organizaciones que realmente almacenan o procesan datos de pago. ¿Existe una autoevaluación para situaciones en las que no transmito datos de tarjetas de crédito, sino que me siento en la misma red que POS?
3) Si, como este question sugiere, ya soy compatible con PCI, ¿puedo obtener algo que certifique que no proceso ningún dato de tarjeta de crédito y que soy compatible con PCI? Tenga en cuenta que no creo que sea compatible con PCI solo porque no almaceno PAN. El cliente estaría en problemas si expusiera un agujero de seguridad en su red (que no lo hago, pero no tengo ninguna pieza de "certificación" que lo diga).