使用清单 A 的 PCI-DSS 合规性
PCI-DSS Compliance Using Checklist A
我们目前的设置。
我们将卡处理服务完全外包给 PCI compliant vendor
。客户输入卡信息的方式是从网页 iframe
直接从第 3 方供应商传送到他们的浏览器。
我们的理解为我们使用 Checklist A
开了绿灯,因为我们不控制页面,卡片数据永远不会接触我们公司的网络。
我的问题:
我们还有一个计费应用程序(在我们的网络上),它也有一个嵌入式浏览器,信用卡输入页面从 3rd party
(iframe) 加载到该浏览器。如果客户打电话给我们更新他们的卡信息,我们会使用它。
我们的会计部门将更新后的卡号输入网页(由第 3 方提供)并发布更新。
这个过程现在是否将我们排除在使用 checklist A
之外?
非常感谢您的回复。
问候,
布莱恩
当您的代理键入客户详细信息时,他们被归类为使用 虚拟终端:
A virtual payment terminal is web-browser-based access to an acquirer,
processor or third party service provider website to authorize payment
card transactions, where the merchant manually enters payment card
data via a securely connected web browser.
SAQ A 可能不适用,有一个专门的 SAQ 涵盖了这一点:SAQ C-VT 适用于:
Merchants with Web-Based Virtual Payment Terminals—No Electronic
Cardholder Data Storage
这是您应该要求您的服务提供商或 QSA clarify/help 提供的内容。
我会谨慎使用 SAQ-A,因为它仅适用于:
贵公司无法直接控制持卡人数据的采集、处理、传输或存储方式;
而且,您肯定不能使用 SAQ-C-VT,因为它仅在以下情况下适用:
贵公司唯一的支付处理是通过连接互联网的网络浏览器访问的虚拟支付终端;
因此,如果我处于你的位置,我会使用 SAQ-C。不过 SAQ-C 很糟糕,所以如果我处在你的位置,我会更想实现一个用户 login/credit 卡更新表单,这样客户就可以更新他们自己的信用卡号码,让你的会计师完全脱离循环,让你留在 SAQ-A!!
我们目前的设置。
我们将卡处理服务完全外包给 PCI compliant vendor
。客户输入卡信息的方式是从网页 iframe
直接从第 3 方供应商传送到他们的浏览器。
我们的理解为我们使用 Checklist A
开了绿灯,因为我们不控制页面,卡片数据永远不会接触我们公司的网络。
我的问题:
我们还有一个计费应用程序(在我们的网络上),它也有一个嵌入式浏览器,信用卡输入页面从 3rd party
(iframe) 加载到该浏览器。如果客户打电话给我们更新他们的卡信息,我们会使用它。
我们的会计部门将更新后的卡号输入网页(由第 3 方提供)并发布更新。
这个过程现在是否将我们排除在使用 checklist A
之外?
非常感谢您的回复。 问候, 布莱恩
当您的代理键入客户详细信息时,他们被归类为使用 虚拟终端:
A virtual payment terminal is web-browser-based access to an acquirer, processor or third party service provider website to authorize payment card transactions, where the merchant manually enters payment card data via a securely connected web browser.
SAQ A 可能不适用,有一个专门的 SAQ 涵盖了这一点:SAQ C-VT 适用于:
Merchants with Web-Based Virtual Payment Terminals—No Electronic Cardholder Data Storage
这是您应该要求您的服务提供商或 QSA clarify/help 提供的内容。
我会谨慎使用 SAQ-A,因为它仅适用于:
贵公司无法直接控制持卡人数据的采集、处理、传输或存储方式;
而且,您肯定不能使用 SAQ-C-VT,因为它仅在以下情况下适用:
贵公司唯一的支付处理是通过连接互联网的网络浏览器访问的虚拟支付终端;
因此,如果我处于你的位置,我会使用 SAQ-C。不过 SAQ-C 很糟糕,所以如果我处在你的位置,我会更想实现一个用户 login/credit 卡更新表单,这样客户就可以更新他们自己的信用卡号码,让你的会计师完全脱离循环,让你留在 SAQ-A!!