PCI-DSS-Konformität mit Checkliste A

Question

Unser aktueller Setup.

Wir geben unseren Kartenverarbeitungsdienst vollständig an einen PCI compliant vendor aus. Die Art und Weise, wie Kunden ihre Karteninformationen eingeben, stammt von einer Webseite iframe, die vom Drittanbieter direkt an ihren Browser geliefert wird.

Unser Verständnis das gibt uns das grüne Licht, Checklist A zu verwenden, weil wir die Seite nicht kontrollieren, und Kartendaten berühren nie unser Firmennetz.

Meine Frage:

Wir haben auch eine Abrechnung Anwendung (in unserem Netzwerk), die auch einen eingebetteten Browser eine Kreditkarte Einstiegsseite hat, zu denen von dem 3rd party (iframe) geladen. Wir verwenden dies, falls ein Kunde uns anruft, um seine Karteninformationen zu aktualisieren.

Unsere Buchhaltungsabteilung gibt die aktualisierte Kartennummer in die Webseite ein (von der dritten Partei geliefert) und bucht das Update.

Schließt uns dieser Prozess jetzt davon ab, checklist A zu verwenden?

Vielen Dank für die Antworten. Grüße, Bryan

Answer 1

Wenn Ihre Agenten Schlüssel in einem Kunden Details, die sie als mit einem Virtual Terminal klassifiziert sind:

Ein virtueller Zahlungsterminal ist Web-Browser-basierten Zugriff auf einen Erwerber, Prozessor oder Website eines Drittanbieters, um die Zahlung zu autorisieren Kartentransaktionen, bei denen der Händler die Daten der Kreditkarte über einen sicher verbundenen Webbrowser manuell eingibt.

SAQ A ist wahrscheinlich nicht anwendbar, da eine spezialisierte SAQ ist, dass diese umfasst: SBF C-VT die für ist:

Merchants mit Web-basierten virtuellen Zahlungsterminals-Nr elektronische Karteninhaber Data Storage

Dies ist etwas, das Sie von Ihrem Diensteanbieter oder ein QSA fragen sollte zu klären/Hilfe bei.

Answer 2

Ich würde vorsichtig sein, über die Verwendung von SAQ-A, wie es gilt nur, wenn:

Ihr Unternehmen hat keine direkte Kontrolle über die Art und Weise, in der Karteninhaberdaten erfasst, verarbeitet, übertragen oder gespeichert werden;

Und Sie ganz sicher nicht SBF-C-VT verwenden, da es gilt nur, wenn:

Ihr Unternehmen nur die Zahlungsabwicklung über ein virtuelles Zahlungsterminal durch einen Internet verbunden Webbrowser zugegriffen wird;

Folglich, wenn ich in Ihren Schuhen wäre, würde ich SAQ-C verwenden.SAQ-C saugt jedoch, also wenn ich in Ihren Schuhen wäre, wäre ich noch mehr versucht, ein Benutzer Login/Kreditkarten-Update-Formular zu implementieren, so dass Kunden ihre eigenen Kreditkartennummern aktualisieren können, halten Sie Ihre Buchhalter völlig aus der Schleife und lass dich in einem SAQ-A !!