私が働く会社は、データを収集する(XMLファイルを入れる)フォームのスキャンされたイメージを受け取る予定です。クレジットカード番号はフォームに書き込まれますが、そのデータを収集したり、支払い。イメージにカード番号がありますが、実際にデータを収集していない場合は、PCI要件が適用されますか?
このようなシナリオでは、PCI規格が適用されますか?番号のある実際のデータファイルはありませんが、画像を見ている人は誰でも簡単にクレジットカード番号を取得できます。カードホルダーの名前が表示され、セキュリティコードは表示されません。有効期限が含まれているかどうかは不明です。
私はサービスプロバイダの定義に入ると思うし、私にとってSAQ-Dは最も適用されるようです。問題の環境は、SAQ-Dのすべての要件を満たすものではありません。
私が読んだことは、要件が当てはまるということですが、そうではなくても、なぜ私たちはそれらをフォローしようとしませんか?私より上の方は、定期的に画像を削除している限り、問題はないと思います。
このタイプのシナリオでは、標準に準拠しているかどうかに関わらず、PCI-DSSドキュメントの入力、リンク、関連セクションなどに感謝します。
プログラミングに関する質問よりも法的な質問によく似ています。 – IDWMaster
トピックとしてオフに投票しました。あなたは本当にソフトウェア開発者からの法的助言を求めていますか?オブジェクト指向プログラミングや制御の逆転については、弁護士に相談することもできます。 –
私は理論的に同意しますが、ソフトウェア開発者は確かにPCIに心配する必要があります。 PA-DSSなどがあります。 –