Соответствие PCI-DSS — скоуп SAQ-A и что это значит
Мы не работаем с данными карт — все платежи через сертифицированный процессор. Скоуп SAQ-A — самая простая и безопасная схема для клиентов Италии.
SAQ-A — вынесенная среда cardholder data
SAQ-A применяется, потому что данные карт полностью вынесены к процессору уровня PCI-DSS Level 1. Мы никогда не видим PAN, никогда не храним CVV, никогда не обрабатываем данные карт на наших серверах. Наша роль — только redirect/iframe.
Токенизация для повторяющегося биллинга
Повторные клиенты платят через токены. Токены — не номера карт, бесполезны при утечке, привязаны к нашему merchant ID. Token vault хранится у процессора, не у нас.
Сеть и квартальные сканы
Внешние ASV-approved сканы ежеквартально. Внутренние сканы уязвимостей ежемесячно. Pentest ежегодно. Findings устраняются по SLA процессора.
Италии — местный контекст платежей
Клиенты в Италии обычно платят через банковский перевод или SEPA SDD для B2B. Платежи картами обрабатываются через процессора с обработкой reverse-charge для НДС 22%. Поток SdI (Sistema di Interscambio) происходит после подтверждения платежа — никогда не работает с данными карт.
Частые вопросы
Вы PCI-DSS Level 1?
Нет — SAQ-A. Level 1 применяется к процессорам с миллионами транзакций. Мы аутсорсим к процессору Level 1.
Можно увидеть ваш AoC?
Да — Attestation of Compliance под NDA.
Поддержка 3DS/SCA?
Да — Strong Customer Authentication через 3D Secure 2.x, обязательно для карточных транзакций EEA согласно PSD2.
Возвраты — сколько занимают?
Возвраты по картам: 3-10 рабочих дней в зависимости от эмитента. SEPA: 1-3 дня. Wire: 1-5 дней.
Chargeback?
Обрабатываются процессором — мы кооперируемся с пакетом доказательств в 48 часов.