我工作的公司将接收我们将收集数据的表格的扫描图像(放入XML文件)信用卡号码将被写入表格,但我们不会收集该数据或处理付款.
在这种情况下,PCI标准是否适用?没有带有该号码的实际数据文件,但是任何查看该图像的人都可以轻松获得信用卡号码.持卡人姓名将出现,没有安全码.不确定是否包含失效日期.
我认为我们属于服务提供商的定义,对我而言,SAQ-D似乎最有可能适用.有关环境不符合SAQ-D的所有要求.
根据我的阅读,我的观点是适用的要求,但即使他们没有,我们为什么不试着遵循这些要求呢?只要我们定期删除图像,我认为我们就可以了.
我要感谢任何输入,链接,PCI-DSS文档的相关部分等,无论是支持还是反对这种情况下的标准.