PCIに使用する必要がある自己評価質問表DSSコンプライアンス
私のシステムには、上流システムからHTTPS経由で安全にカードデータが渡されます。アップストリームシステムは、電話入力を介して情報を取得します。この電話入力は、PaycorpのAPIを介して支払いを呼び出すために送信されます(PaycorpはPCIに準拠しています)。上流システムは別のベンダーであり、PCIコンプライアンス評価の環境を処理しています。
アプリケーションはこのデータを受信し、クレジットカード番号をPaycorpに送信します。
カードデータの保存、ログの記録、CC情報の記録は行いません。送信するだけです。
どの自己評価アンケートに記入するのが難しいのですが。
私はそれがここで概説されたどのカテゴリーにも分類されないと思っているように感じます https://www.pcisecuritystandards.org/pci_security/completing_self_assessment
しかし、それがSAQ Dであることを正当化するような気もしません。では、どのSAQが私の状況に適していますか?
残念ながら、未加工のカードデータはクリアテキストでyourサーバーを転送するため、SAQ Dを使用する必要があります。また、あなた自身が商人ではないため、サービスプロバイダーにとってはSAQ Dになります。
SAQの該当しないセクションがあり、N/Aとマークされているだけの場合もありますが、それでもすべてを記入する必要があります。
Paycorpだけが解読できる方法で上流システムにカードデータを暗号化させることができれば(公開キー暗号化はこれに適しています)、クリアテキストのカード番号がなくなり、おそらくより短いSAQを使用できます-またはSAQ Dのさらに多くをN/Aとしてマークすることはできません。しかし、それが選択肢でなければ、あなたはそれで立ち往生しています。ごめんなさい。