Conformità PCI-DSS — scope SAQ-A e cosa significa
Non gestiamo dati carta — tutti i pagamenti via processor certificato. Scope SAQ-A significa setup più semplice e sicuro per i clienti italiani.
SAQ-A — cardholder data environment esternalizzato
SAQ-A si applica perché i dati carta sono completamente esternalizzati a un processor PCI-DSS Level 1. Non vediamo mai il PAN, non archiviamo mai CVV, non processiamo mai dati carta sui nostri server. Il nostro ruolo è solo redirect/iframe.
Tokenizzazione per billing ricorrente
I clienti ripetuti pagano via token. I token non sono numeri carta — inutili se esposti, scoped al nostro merchant ID. Il token vault è tenuto dal processor, non da noi.
Network e scan trimestrali
Scan esterni approvati ASV trimestrali. Scan vulnerabilità interni mensili. Pentest annuale. Findings rimediati secondo SLA del processor.
Italia — contesto pagamenti locale
I clienti italiani pagano tipicamente via bonifico o SEPA SDD per B2B. Pagamenti carta gestiti via processor con gestione reverse-charge IVA 22%. Flusso SdI (Sistema di Interscambio) avviene dopo conferma pagamento — non gestisce mai dati carta.
FAQ
Siete PCI-DSS Level 1?
No — SAQ-A. Level 1 si applica ai processor che gestiscono milioni di transazioni. Esternalizziamo a un processor Level 1.
Possiamo vedere il vostro AoC?
Sì — Attestation of Compliance condiviso sotto NDA.
Supporto 3DS/SCA?
Sì — Strong Customer Authentication via 3D Secure 2.x, obbligatorio per transazioni carta SEE sotto PSD2.
Rimborsi — quanto durano?
Rimborsi carta: 3-10 giorni lavorativi a seconda dell'issuer. SEPA: 1-3 giorni. Bonifico: 1-5 giorni.
Chargeback?
Gestiti dal processor — cooperiamo con evidence package entro 48 ore.