我们目前的设置。
我们将卡处理服务完全外包给PCI compliant vendor。客户输入卡信息的方式来自从第三方供应商直接发送到其浏览器的网页iframe。
我们的理解为我们提供了使用Checklist A的绿灯,因为我们无法控制页面,而且卡片数据永远不会触及我们公司的网络。
我的问题:
我们还有一个计费应用程序(在我们的网络上),它还有一个嵌入式浏览器,从3rd party(iframe)加载信用卡条目页面。如果客户致电我们更新他们的卡信息,我们会使用此信息。
我们的会计部门将更新后的卡号输入网页(从第三方发送)并发布更新。
此过程现在是否排除我们使用checklist A?
非常感谢您的回复。 问候, 布赖恩
答案 0 :(得分:0)
我在使用SAQ-A时要小心,因为它仅适用于:
贵公司无法直接控制持卡人数据的捕获,处理,传输或存储方式;
而且,您肯定无法使用SAQ-C-VT,因为它仅适用于:
贵公司唯一的付款处理是通过互联网连接的网络浏览器访问的虚拟支付终端;
因此,如果我在你的鞋子里,我会使用SAQ-C。 SAQ-C很糟糕,所以如果我在你的鞋子里,我会更倾向于实施用户登录/信用卡更新表格,以便客户可以更新他们自己的信用卡号码,让你的会计师完全不在循环,让你留在SAQ-A !!