SaaS提供者的PCI遵从性

Question

我们(商人)将使用一个SaaS销售学习模块和接受信用卡支付通过重定向到服务提供商，将处理信用卡付款。SaaS将由Amazon服务托管。

如果SaaS提供程序需要符合PCI标准(因为自从PCI v.3.1以来，重定向的人就在范围内)。或者，将主持Saas的Amazon应该是符合PCI标准的人吗？

Answer 1

您需要在您描述的业务模型中使用以下三个元素：

1. 亚马逊需要兼容PCI，因为它们运营着接受借记卡、信用卡或预付费卡的公司背后的基础设施。这里不用担心，因为事实上，亚马逊是符合PCI的(https://aws.amazon.com/es/compliance/pci-dss-level-1-faqs/)
2. 您的eCommerce SaaS提供程序还需要与SaaS兼容。根据与您签订合同的供应商的不同，他们可能还需要对漏洞进行ASV扫描。我只能猜测您的提供商不会处理或存储支付数据，只会将其传输到第三方支付处理器。在任何情况下，这是您的供应商的责任，所以仔细选择您的供应商。(如果您想了解这方面的更多信息，请参阅此表https://www.pcicomplianceguide.org/wp-content/uploads/2016/01/3.1-SAQ-Routing-for-the-E-Commerce-Merchant-ControlScan-3.png)
3. 第三方支付数据处理器显然必须是PCI投诉(而且很可能是这样，因此没有必要在这里进行更深入的讨论)。

不用说，如果您的公司(SaaS提供商除外)处理、传输或存储任何在您的业务模型中遇到的前提、电话或任何其他方式的支付数据，那么您也需要兼容PCI。