如果我不存储，而是传输数据，那么我需要遵守什么级别的PCI法规？

Question

我正在对我的PCI遵从性水平做一些研究，而且我很难理解我应该在哪里。

我有一个有重复计费的web服务。该站点是使用PHP和Drupal创建的。我接受并通过表格传送信用卡信息，并通过TLS加密后提交给Authorize.net进行处理和存储。

我从不储存信用卡信息。

我使用符合PCI的托管服务，带有专用的物理服务器.

我处理的信用卡非常非常少。就像，每2-3个月一次。

我知道我需要符合PCI标准，但我不确定它是哪一级的，我认为它要么是A级，要么是C级，我希望A级，但我不确定，因为我需要循环计费，而Authorize.net的ARB似乎是唯一一个支持它而不存储任何东西的，所以我加密并将数据发送到Authorize.net。

谢谢你的回答。

Answer 1

简短版本：

可能是SAQ C，但要小心，因为SAQ D到处都是认为自己是SAQ C的人。如果你提供更多的信息，我可能很快就会点点头说“啊，是的，SAQ D。”

长篇版本：

如果你没有读过，你应该读自我评估问卷说明和指南。

您不是SAQ A. A是为“卡不存在(电子商务或邮件/电话订购)商，所有持卡人数据功能外包。”(强调我的)。如果您的服务器正在接受一个卡号，然后将它重新发送到您的处理器，那么您将发送卡数据，这是一个持卡人数据功能。

你不是SAQ B. B是为了“只留下印记的商人”，也就是那些拥有实物卡的商人。"B“是指砖和砂浆:)。

你不是。VT的意思是“基于网络的虚拟终端”，这意味着你的员工坐在他们前面的电脑和一部电话，并输入客户告诉他们的卡号；VT的作用就像超市结账线上的终端:与处理器交谈，得到回复，不存储卡数据。如果客户将数据输入到您的web服务器，那么它就不是VT。

您可能是SAQ C。如果您立即将auth请求发送到您的处理器，而不存储它们(比如批处理)，并且没有任何其他系统与正在接收卡片的系统通信，那么您可能有资格使用C，但关键是“支付应用系统/Internet设备没有连接到您环境中的任何其他系统”。你真的必须尽可能少做一个管道。顺便说一句，这是传输-但不是存储-的细微差别会影响你的地方。存储卡数据会把你推到D，只是传输可能不会-如果适当的限制。

这就给你留下了SAQ D，“所有其他商户都不包括在SAQ类型A到C的描述中”。这是最长的SAQ，这也是为什么很多边缘案件都很难相信他们变成了SAQ C。

但是，即使您是SAQ，如果您的处理器支持令牌化，您也可以通过回答"N/A“来回答许多问题，并将其作为补偿控件列出。例如，DS3.4(加密卡号的要求)可以标记为N/A，如果您从不存储卡号，而是使用令牌。

<disclaimer>
I work for Litle, but you might look into their PayPage + Vault,
which gives you tokenization and allows you to avoid having card
data transit your server.  Recurring payments, too, IIRC.
</disclaimer>