Nous traitons actuellement, mais ne stockons pas, les données de carte de crédit. Nous autorisons les cartes via une application auto-développée utilisant l'API authorize.net.
Si possible, nous aimerions limiter toutes les exigences de PCI qui affectent nos serveurs (comme l'installation d'Antivirus) à un environnement séparé et isolé. Est-ce possible de faire tout en maintenant la conformité?
Si oui, qu'est-ce qui constituerait un isolement suffisant? Sinon, existe-t-il un endroit où cette portée est clairement définie?