对于 PCI DSS 合规性,我应该使用哪个自我评估问卷

信息安全 pci-dss 遵守 pci-scope
2021-09-09 07:37:58

我的系统通过 HTTPS 从上游系统安全地传递卡数据。上游系统通过电话输入获取信息。此电话输入将发送给我们,以通过 Paycorp 的 API 调用付款(Paycorp 符合 PCI 标准)。上游系统是不同的供应商,他们正在处理他们的环境 PCI 合规性评估。

我们的应用程序接收到这些数据,然后将信用卡号传输给 Paycorp。

我们不存储任何卡数据、日志或记录任何 CC 信息。我们只转发。

我很难确定要填写哪个自我评估问卷。

我觉得它不属于此处概述的任何类别 https://www.pcisecuritystandards.org/pci_security/completing_self_assessment

但我也不认为这是 SAQ D 的正当理由。那么哪个 SAQ 适合我的情况?

1个回答

对您来说不幸的是,由于原始卡数据以明文形式传输您的服务器,因此您必须使用 SAQ D,并且由于您自己不是商家,因此它将是用于服务提供商的 SAQ D。

SAQ 的某些部分可能不适用于您并且可以标记为 N/A,但您仍然必须填写整个内容。

如果您可以让上游系统以只有 Paycorp 可以解密的方式加密卡数据(公钥加密对此有好处),您将不再拥有明文卡号,并且可能可以使用更短的 SAQ - 或至少能够将更多的 SAQ D 标记为 N/A。但如果这不是一个选择,你就会坚持下去。对不起。

其它你可能感兴趣的问题
上一篇浏览器设置以防止恶意软件和不需要的东西 下一篇Win10:访问其他登录用户的内存