PCI-DSS遵从性使用Checklist A

Question

我们目前的设置。

我们将我们的卡处理服务完全外包给一个PCI compliant vendor。客户输入卡片信息的方式是从一个网页iframe直接从第三方供应商发送到他们的浏览器。

我们对此的理解给了我们使用Checklist A的绿灯，因为我们不控制页面和卡数据，永远不会触及我们的公司网络。

我的问题是：

我们还有一个计费应用程序(在我们的网络上)，它还有一个嵌入式浏览器，从3rd party (iframe)加载信用卡入口页面。如果客户打电话给我们更新他们的卡信息，我们就会使用这个方法。

我们的会计部门将更新后的卡号输入网页(从第三方发送)并发布更新信息。

这个过程现在是否排除了我们使用checklist A？

非常感谢你的答复。你好，布莱恩

Answer 1

当代理输入客户详细信息时，它们被归类为使用虚拟终端

虚拟支付终端是基于web浏览器访问收购者、处理器或第三方服务提供商网站以授权支付卡交易，其中商家通过安全连接的网络浏览器手动输入支付卡数据。

SAQ A可能不适用，有一个专门的SAQ : SAQ，用于：

基于Web的虚拟支付终端的商家-无电子持卡人数据存储

这是您应该要求您的服务提供商或QSA澄清/帮助的事情。

Answer 2

我会小心使用SAQ-A，因为它只适用于以下情况：

您的公司无法直接控制持卡人数据的获取、处理、传输或存储方式；

而且，您当然不能使用SAQ，因为它只适用于以下情况：

你的公司唯一的支付处理是通过一个虚拟支付终端访问互联网连接的网络浏览器；

因此，如果我站在你的立场上，我就会用SAQ。SAQ-C很糟糕，所以如果我在你的位置上，我会更想实现一个用户登录/信用卡更新表单，这样客户就可以更新他们自己的信用卡号码，让您的会计师完全脱离循环，让您留在SAQ-A！