Tenga en cuenta que debe analizar el cumplimiento de PCI con su adquirente. Se les permite usar su propio juicio sobre el asunto.
Aún así, se deben aplicar algunas reglas generales. Si tu:
- procesar menos de 1 millón de transacciones de comercio electrónico por año
- no procese, transmita ni almacene los datos del titular de la tarjeta usted mismo, sino que use un proveedor de servicios (pasarela de pago, etc.)
- retener solo copias en papel de los datos del titular de la tarjeta (que no se transmiten electrónicamente)
Entonces lo más probable es que tengas que
- ¿Cuál es la mejor pila de tecnología para un sistema ex basado en web (ERP), que tendrá una gran cantidad de usuarios por día y al mismo tiempo?
- ¿Cuál es un buen marco para crear aplicaciones web móviles?
- Cómo obtener un proyecto de desarrollo web que también me dará dinero
- ¿Cuál es el lenguaje de programación más fácil de usar para el desarrollo web y el diseño web?
- ¿Por qué las aplicaciones web y aplicaciones móviles chinas son mucho mejores que las aplicaciones web y aplicaciones móviles de EE. UU. Ahora (agosto de 2013)?
- complete SAQ A anualmente
- someterse a un análisis trimestral de vulnerabilidades por parte de un ASV (por ejemplo, McAfee Secure)
Ahora, si observa las preguntas SAQ A, debería
- medios físicos seguros
- tener un acuerdo contractual con su proveedor de servicios, donde reconocen la responsabilidad de asegurar los datos del titular de la tarjeta
- supervisar el estado de cumplimiento de PCI del proveedor de servicios
Si procesa o transmite datos de titulares de tarjetas pero no los almacena, debería buscar SAQ C en su lugar. Hay muchas más preguntas para responder.
https://www.trustwave.com/pci-da…
https: //www.pcisecuritystandards…