Alcance
El primer orden del día es identificar su alcance. Cuanto menor es el alcance, más fácil es el camino hacia el cumplimiento. El descubrimiento del alcance puede ser complicado. Le sugiero que conserve un Asesor de seguridad calificado (QSA) para ayudarlo en este proyecto.
Canal de pago
Cada negocio tiene su forma única de aceptar pagos con tarjeta. La forma en que la entidad comercial acepta el pago con tarjeta determina qué SAQ debe presentar. Refiriéndose a su pregunta, SAQ D puede no ser el mejor camino para que su entidad logre el cumplimiento.
AWS y tu
AWS cumple muchos de los requisitos de PCI, pero no todos. Para completar un SAQ, debe cumplir con todos los requisitos. Algunos requisitos están cubiertos naturalmente por el proveedor de alojamiento. Cualquier requisito no cubierto por el proveedor de alojamiento queda bajo la responsabilidad del propietario del negocio a cumplir.
- ¿Qué debería preferir mecánico en MIT Manipal o cloud computing en UPES?
- ¿Cuáles son algunas de las principales desventajas de la nube de AWS frente a un centro de datos tradicional?
- ¿Son las supercomputadoras relevantes en la era de la computación en la nube?
- ¿Por qué un asesor de riqueza debe convertir sus operaciones de Excel a una solución más basada en la nube?
- ¿Por qué AWS da 750 horas por mes (no 744) en la base de datos para EC2?
Conclusión
Los tres puntos anteriores serán un buen comienzo para trazar una hoja de ruta para el cumplimiento de PCI. Correr para marcar el documento SAQ D como irrelevante no es un esfuerzo de cumplimiento de PCI.