Meu conselho (ter passado por auditorias completas de conformidade com a PCI) seria usar um processador de pagamento de terceiros, a menos que você tenha volume, experiência e mão de obra internos significativos. Isso deve reduzir sua exposição ao SAQ-A, o que significa que você precisa simplesmente preencher um questionário.
Se você está processando cartões no local (ou seja, através de seu software / servidores / rede, etc.), então é mais provável que você esteja usando o SAQ-C e precise passar por vários obstáculos.
Encontre um processador de pagamento que seja compatível com o PCI e assuma a propriedade da transação. ou seja, você redirecionaria para o site deles para oferecer o pagamento.
Quais processadores de pagamentos são compatíveis com PCI, são relevantes em sua localização, pois os tipos de cartões que você deseja processar etc. podem ser muito específicos para você. Essa é uma tarefa de pesquisa para você.