我应该使用哪一个自我评估问卷来满足PCI DSS的要求？

Question

我的系统是从上游系统安全地通过HTTPS传递卡数据的。上游系统通过电话输入捕获信息。这个电话输入被发送给我们，通过Paycorp的API调用付款(Paycorp是符合PCI的)。上游系统是一个不同的供应商，他们正在处理他们的环境PCI遵从性评估。

我们的应用程序接收这些数据，然后将信用卡号码发送给Paycorp。

我们不存储任何卡数据，日志，或记录任何CC信息。我们只传输。

我很难想出自己要填写的自我评估问卷。

我觉得它不属于这里概述的任何范畴，https://www.pcisecuritystandards.org/pci_安全/完成_自我_评量

但我也不认为这是SAQ D的理由，那么哪一个SAQ适合我的情况？

Answer 1

不幸的是，由于原始卡数据以明文形式传输您的服务器，所以您必须使用SAQ D，而且由于您自己并不是商家，所以对于服务提供商来说，这将是SAQ D。

可能有整个部分的SAQ不适用于你，可以只是标记为N/A，但你仍然必须填写整件事。

如果您可以让上游系统以只有Paycorp才能解密的方式加密卡数据(公钥加密技术对此有好处)，那么您将不再拥有明文卡号，并且可能会使用更短的SAQ --或者至少能够将SAQ D标记为N/A，但如果这不是一种选择，您就会继续使用它。抱歉的。