我们当前的设置。
我们将卡处理服务完全外包给PCI compliant vendor。客户输入卡信息的方式是从网页iframe 直接从第三方供应商发送到他们的浏览器。
我们的理解为我们使用 Checklist A 开了绿灯,因为我们不控制页面并且卡片数据永远不会触及我们的公司网络。
我的问题:
我们还有一个计费应用程序(在我们的网络上),它还有一个嵌入式浏览器,信用卡入口页面从3rd party (iframe) 加载到该浏览器。如果客户打电话给我们更新他们的卡信息,我们会使用它。
我们的会计部门将更新后的卡号输入网页(由第三方提供)并发布更新。
这个过程现在是否将我们排除在使用 checklist A 之外?
非常感谢您的回复。 问候, 布莱恩
【问题讨论】:
当您的代理键入客户详细信息时,他们被归类为使用虚拟终端:
虚拟支付终端是对收单机构的基于网络浏览器的访问, 处理器或第三方服务提供商网站授权付款 卡交易,商家手动输入支付卡 通过安全连接的网络浏览器获取数据。
SAQ A 可能不适用,有一个专门的 SAQ 涵盖此:SAQ C-VT 用于:
拥有基于 Web 的虚拟支付终端的商家 - 没有电子 持卡人数据存储
这是您应该要求您的服务提供商或 QSA 澄清/帮助解决的问题。
【讨论】:
我会小心使用 SAQ-A,因为它仅适用于以下情况:
贵公司无法直接控制持卡人数据的获取、处理、传输或存储方式;
而且,您当然不能使用 SAQ-C-VT,因为它仅适用于以下情况:
贵公司唯一的支付处理是通过连接互联网的网络浏览器访问的虚拟支付终端;
因此,如果我站在你的立场上,我会使用 SAQ-C。 SAQ-C 虽然很烂,所以如果我站在你的立场上,我会更想实施用户登录/信用卡更新表格,以便客户可以更新他们自己的信用卡号码,让你的会计师完全置身事外,让你留在SAQ-A!!
【讨论】: