Уровень PCI для хранения кредитных карт

Если вам действительно (действительно) нужно хранить номера карт, то вы попадаете на самый строгий уровень соответствия PCI. Это требует ежегодных проверок на месте, ежеквартального сканирования сети и (как вы, возможно, уже знаете) будет очень дорогостоящим. Это не зависит от количества транзакций. (Старые первые версии PCI давали разные уровни в зависимости от количества обрабатываемых карт. Это уже не так)

Если вы можете использовать третью сторону для хранения/обработки периодических счетов, вы переходите на более низкий уровень, который требует только ежегодного заполнения анкеты самооценки (SAQ). Большинство поставщиков платежных услуг смогут помочь с регулярным выставлением счетов, если вы обсудите с ними свои требования. Периодическое выставление счетов (как вы знаете) имеет дополнительные сложности, поскольку карты могут истечь / быть прекращены / заменены в середине цикла.

Если вы вообще сомневаетесь, то сейчас самое подходящее время, чтобы поговорить с QSA (квалифицированным оценщиком безопасности). Если вы обсудите свою ситуацию по телефону, они смогут точно посоветовать, где вы находитесь. В конечном счете, если вы не обратитесь к стороннему поставщику платежных услуг, вам потребуется QSA, чтобы помочь вашей организации в обеспечении соответствия требованиям PCI.