it-swarm-es.com

¿Qué PCI SAQ diría que usaría si no es un comerciante ni proveedor de servicios?

Baja abajo: Este cliente hace cero con los datos de la tarjeta de crédito (sin procesamiento, sin pasarlo, nada), pero tienen un dispositivo que a menudo se coloca en El mismo segmento de red de un sistema POS (punto de venta).

La clave es que sus clientes esperan que sigan los requisitos de seguridad de PCI y para producir una certificación. Dado esto, ¿qué PCI SAQ es apropiado usar?

Biblioteca de documentos PCI: https://www.pcisecuritystandards.org/security_standard/documents.php

3
Tate Hansen

SAQ A es el más aplicable, que se define como "comerciantes no presentados por la tarjeta, todas las funciones de datos del titular de la tarjeta subcontratan".

En toda la honestidad, pueden firmar su nombre a cualquiera de los SAQS porque sin almacenar, procesar o transmitir datos de tarjetas, están cumpliendo con todos los puntos del DSS. Si yo fuera, firmaría un SAQ D (que es el DSS completo) porque se ve mejor.

Un mejor enfoque para ellos sería mostrar cómo el dispositivo que coloca en el entorno de datos del titular de la tarjeta (CDE) cumple con el PCI DSS.

2
freb

Estoy un poco desconcertado: si no están tratando con los datos de CC de ninguna manera, entonces no hay ningún requisito PCI para ellos. La respuesta inicial debe ser preguntar qué certificación desea su cliente y luego trabajar para eso.

De hecho, al pasar por los detalles de los Docs PCI (que no lo hago en unos pocos meses, pero estaba aburrido esta noche) no hay nada que pueda aferrarse a los que los señale. En serio, la respuesta clave a los clientes debe ser:

PCI DSS no tiene nada para nosotros, pero lo que hacen los estándares sted ¿Quieres que nos encontremos?

1
Rory Alsop