Соответствие PCI-DSS с использованием контрольного списка A

Question

Наша текущая настройка.

Мы полностью передаем услуги по обработке карточек на PCI compliant vendor. То, как клиенты вводят свою карточную информацию, находится на веб-странице iframe, доставленной непосредственно в их браузер от стороннего поставщика.

Наше понимание этого дает нам зеленый свет для использования Checklist A, потому что мы не контролируем данные страницы и карты, которые никогда не касаются сети нашей компании.

Мой вопрос:

У нас также есть приложение биллинга (в нашей сети), который также имеет встроенный браузер, к которому страница запись кредитной карты загружаются из 3rd party (фрейма). Мы используем это, если клиент звонит нам, чтобы обновить информацию о своей карте.

Наш бухгалтерский отдел вводит обновленный номер карты на веб-страницу (доставляется от третьего лица) и публикует обновление.

Этот процесс теперь исключает использование checklist A?

Большое спасибо за ответы. С уважением, Bryan

Answer 1

Когда ваши агенты ключ в деталях клиентов они классифицируются как использование Virtual Terminal:

Терминал виртуального платежа на основе веб-браузера доступ к приобретателю, обработчика или стороннего поставщика услуг, разрешить оплату транзакций карты , когда продавец вручную вводит данные платежной карты через безопасный веб-браузер.

SAQ, вероятно, не применимо, есть специализированный SAQ, который охватывает это: SAQ C-VT который предназначен для:

коммерсантов с веб-Based Virtual Платежные терминалы-No Электронный Хранение данных о держателях карт

Это то, о чем вы должны попросить у вашего поставщика услуг или QSA разъяснить/помочь.

Answer 2

я был бы осторожен об использовании SAQ-А как это относится только если:

Ваша компания не имеет прямого контроля, каким образом данные держателя карты захватывается, обрабатываются, передаваться или храниться;

И, вы, конечно, не может использовать SAQ-C-VT, как оно применяется только если:

только обработка платежей Вашей компании есть через виртуальный платежный терминал, доступ с помощью подключенного к сети Интернет веб-браузер;

Следовательно, если бы я был на вашем месте, я бы использовал SAQ-C.SAQ-C отстой, хотя, если бы я был в ваших силах, мне было бы еще более соблазнительно внедрить форму для ввода имени пользователя/кредитной карты, чтобы клиенты могли обновлять свои номера кредитных карт, чтобы ваши бухгалтеры полностью выходили из цикла , и пусть вы останетесь в SAQ-A !!