チェックリストAを使用したPCI-DSS準拠

Question

現在の設定。

私たちはカード処理サービスをPCI compliant vendorに完全に委託しています。顧客がカード情報を入力する方法は、サードパーティのベンダーからブラウザに直接配信されるウェブページiframeです。

これを理解すると、当社の緑色の光はChecklist Aになります。私たちはページを制御せず、カードデータは決して会社のネットワークに触れません。

私の質問：

我々はまた、また、クレジットカードのエントリページが3rd party（インラインフレーム）からロードされるための組み込みブラウザを持っている（私たちのネットワーク上の）課金アプリケーションを持っています。お客様がカード情報を更新するために私たちに電話した場合に使用します。

私たちの会計部門は、更新されたカード番号をWebページ（第三者から配信）に入力し、更新を通知します。

このプロセスでは現在checklist Aの使用が除外されていますか？

多くの回答に感謝します。 よろしく、彼らは仮想端末を使用するものとして分類されている顧客の詳細であなたのエージェントがキー ブライアン

Answer 1

：

仮想決済端末が取得するWebブラウザベースのアクセスで、 カード番号 カード取引を承認します。ここで、販売者は、安全に接続されたWebブラウザ経由で、カード の支払いカードを手動で入力します。

SAQ Aカバー専門のSAQがあり、可能性は適用されないこの：Webベースの仮想決済端末-ないと

商人：ですSAQ C-VT電子 カード会員データ記憶

これは、サービスプロバイダまたはQSAに明確に説明する必要があるものです。

Answer 2

場合にのみ適用されるように私はSAQ-Aの使用について注意が必要だろう：

あなたの会社は、カード会員データは、キャプチャ、処理、送信、または保存されている方法の直接制御がありません。

そして、それだけで適用される場合は、最も確かSAQ-C-VTを使用することはできません：あなたの会社の唯一の支払い処理は、インターネット接続されたウェブブラウザでアクセスする仮想決済端末経由で

。

私は靴の中にいたとしますが、私はSAQ-Cを使用しています。SAQ-Cは厄介なので、もし私があなたの靴の中にいたら、ユーザーログイン/クレジットカード更新フォームを実装して、顧客が自分のクレジットカード番号を更新できるようにしたいと思っています。 SAQ-Aに泊まりましょう！