Соответствие PCI-DSS с использованием контрольного списка A
Наша текущая настройка.
Мы полностью передаем наши услуги по обработке карт PCI compliant vendor, Клиент вводит информацию о своей карте с веб-страницы. iframe доставлено непосредственно в их браузер от стороннего поставщика.
Наше понимание этого дает нам зеленый свет для использования Checklist A потому что мы не контролируем страницу, а данные карты никогда не затрагивают сеть нашей компании.
Мой вопрос:
У нас также есть приложение для выставления счетов (в нашей сети), которое также имеет встроенный браузер, в который загружается страница ввода кредитной карты из 3rd party (IFrame). Мы используем это в случае, если клиент звонит нам, чтобы обновить информацию о своей карте.
Наша бухгалтерия вводит обновленный номер карты на веб-страницу (полученную от третьей стороны) и публикует обновление.
Этот процесс теперь исключает нас от использования checklist A?
Большое спасибо за отзывы. С уважением, Брайан
2 ответа
Когда ваши агенты вводят данные клиентов, они классифицируются как использующие виртуальный терминал:
Виртуальный платежный терминал - это доступ через веб-браузер к веб-сайту покупателя, процессора или стороннего поставщика услуг для авторизации транзакций по платежным картам, когда продавец вручную вводит данные платежной карты через надежно подключенный веб-браузер.
SAQ A, вероятно, не применяется, существует специализированный SAQ, который покрывает это: SAQ C-VT, который предназначен для:
Торговцы с виртуальными платежными терминалами через Интернет - без хранения данных о держателях электронных карт
Это то, что вы должны попросить вашего поставщика услуг или QSA уточнить / помочь с.
Я буду осторожен в использовании SAQ-A, так как он применяется только в том случае, если:
Ваша компания не имеет прямого контроля над способом сбора, обработки, передачи или хранения данных о держателях карт;
И вы, безусловно, не можете использовать SAQ-C-VT, так как он применяется только в том случае, если:
Единственная обработка платежей вашей компании осуществляется через виртуальный платежный терминал, доступ к которому осуществляется через подключенный к Интернету веб-браузер;
Следовательно, если бы я был на вашем месте, я бы использовал SAQ-C. SAQ-C отстой, хотя, поэтому, если бы я был на вашем месте, у меня был бы еще больший соблазн внедрить форму входа пользователя / обновления кредитной карты, чтобы клиенты могли обновлять свои собственные номера кредитных карт, не допуская ваших бухгалтеров в курсе событий и пусть ты останешься в SAQ-A!!