确定PCI DSS SAQ水平

Question

我有一个B2B SaaS，然后我的客户和他们自己的客户一起使用它在iPads面对面的场景中收集数据，我想扩展它以获取信用卡的细节。信用卡详细信息将与符合PCI标准的第三方一起存储。

对于处理，我可以让信用卡号码通过我的服务器(并连接到上面提到的第三方)，或者使用另一个第三方(如spreedly.com )进行透明处理(在这里，信用卡号根本不碰我的服务器)。

由于我被定义为一个服务提供者，而且数量很低，所以我认为唯一的选择是“服务提供商的SAQ”。这似乎是SAQ中最严格的(因此也是最大的成本)，而且如果我有这种遵从性，那么我可以在我的服务器上处理CC数据，如果我想的话，甚至可以存储CC数据。

在我看来，奇怪的是，如果CC数据从未触及我的服务器，我就需要同样程度的遵从性，就好像我选择存储CC数据一样(或者至少在我的服务器上处理它)！所以我的问题是我说得对吗?还是我遗漏了什么？

除此之外，我的客户需要某种程度的PCI遵从性，因为他们会收集CC数据吗？即使这一切都会通过我的系统和连接的第三方。

编辑:我没有提到资金流向客户银行，而不是我的银行，如果这有道理的话。因此，我认为客户将负责确保他们使用符合PCI标准的供应商，而且他们的银行也将规定他们需要达到什么样的合规要求才能与我分开。因此，我想，确保客户端符合PCI协议并不是我的责任，但不确定。

Answer 1

如果您将所有持卡人数据外包给第三方，并且您需要自己遵守，那么SAQ A的适用要求适用于您。虽然PCI包含大量的需求(即SAQ )，但如果您不处理持卡人的数据，这些需求中的绝大多数将不适用于您。取决于数量，您可能没有资格完成一个SAQ。在这种情况下，您将有一个完整的执行摘要在一个ROC (报告的符合性)，只有那些要求适用于您将得到验证。

如果您希望传输、处理或存储持卡人数据，标准中的许多要求将适用于验证，并增加遵从性的成本和时间，但最终可能会给您更大的自由(并使您面临更大的风险)。

如果你的客户处理持卡人的数据，他们需要遵从。如果他们把这件事外包给你，你需要向他们证明你是顺从的。当然，您可以将其进一步转移到另一个兼容的第三方。例如，商家A可以使用服务提供商B，后者使用服务提供商C来处理商户A的持卡人数据。在这种情况下，商家和两个服务提供商都需要遵从，尽管只有一个实体，即服务提供商C，处理持卡人数据。

Answer 2

我的想法是：这里是一个很好的链接，可以解释不同的SAQ级别。如果您是服务提供者，则需要为服务提供者填写SAQ D。在收集CC数据时，您的客户肯定需要获得PCI遵从性。

另一件可能有助于您发现的事情是这链接上的PCI第三方安全保证信息补充文档。

我同意上面的回答，最好去问处理器/收购者。