SAQ-A对SAQ-D范围

Question

我已经收到我们的风险管理小组的通知，他们认为我们的网站属于SAQ的范围。

我们利用第三方供应商为我们的所有支付处理-和网站上基本上只是提供静态链接(href="ourcompany.someprocessor.com")，以指导他们的支付处理网站。在我们的站点上没有收集任何客户数据的表单，我们不向供应商发布任何信息(100%的过程发生在那里)--我们也没有收到任何关于在那里发生的任何事务的回调。

所以我对它的解读是，我们属于SAQ。我们已明确尝试采取措施，不属于SAQ//等的范围。

风险管理小组提出的观点是，有可能有人侵入我们的网站，并将链接从有效链接更改为某个邪恶的CC处理器。虽然这是一个合法的问题，但我不认为它改变了我们要求SAQ-A的地位。

我是不是没有根据了？

Answer 1

你似乎属于SAQ A。让我们回顾一下确定一个SAQ A商人的标准清单：

SAQ A商户确认，对于这一支付渠道：

• 贵公司只接受卡不存在(电子商务或邮购/电话订购)交易；

你没有明确的说，但这是暗示的。

• 所有付款接受和处理完全外包给PCI DSS认证的第三方服务提供商；

你要明确地说明这一点。

• 您的公司无法直接控制持卡人数据的获取、处理、传输或存储方式；

你说情况就是这样。

• 您的公司不以电子方式存储、处理或传输任何持卡人在您的系统或场所上的数据，而是完全依赖第三方(S)来处理所有这些功能；

你说的话暗示了这一点。

• 贵公司已证实所有处理持卡人资料的接收、储存、处理及/或传送的第三者(S)均符合PCI DSS的规定；及

你就是这么说的。

• 贵公司只保留持卡人资料的书面报告或收据，而这些文件不会以电子方式收到。

处理器不太可能给你带有持卡人数据的收据。

此外，对于电子商务渠道：

• 交付给消费者浏览器的所有支付页面都直接来自第三方PCI DSS验证服务提供商(S)。

这就是你说你要做的。

我同意你的观点，这听起来像是一个SAQ A环境。我会回击，并要求风险管理小组解释SAQ D的哪些标准，他们觉得你落入了。有人可以黑你的网站并改变链接的机会不是触发SAQ D分类的东西；如果是这样的话，根本就没有SAQ A。

Answer 2

我只想补充@gowenfar的准确和正确的答案，即最终你要对你的PCI DSS的遵守情况向你的收购银行负责，而不是你的风险部门；

PCI DSS是支付生态系统风险管理的一部分。如果您的网站被黑，您的客户重定向到一个邪恶的付款页面，客户的卡数据被拿走，你会很快注意到，因为你会停止接收交易！因此，虽然这是犯罪分子使用的攻击，但它比"magecart“类攻击要少得多，这种攻击会从支付页面中浏览卡片数据，因为它通常被商人很快发现并停止--因此罪犯的ROI很小。

请记住，PCI是一组基线控件，没有什么可以阻止您使用外部网站监控服务(许多公司提供这样的服务)，如果链接目的地发生变化，就会提醒您。或者，根据系统的配置方式，增加文件完整性监视可能也会提醒您这种攻击类型。