PCI Audit: utilizzo di schede "test"

Question

PCI Audit: utilizzo di schede "test"

#1 da (8 voti)
#2 da (1 voti)
#3 da (0 voti)

10

So che lo standard PCI non consente di utilizzare numeri di carta di credito reali sui sistemi di test. Visa, Mastercard e Amex forniscono un elenco di carte "test" da utilizzare. Ha perfettamente senso, e lo stiamo facendo.

Ora, una volta che tutto è configurato in produzione, spesso è necessario testare il sistema prima di consentire ai client di utilizzarlo. Abbiamo una carta Visa prepagata che facciamo per il test finale. Quindi questo è nel nostro sistema di produzione, con il nostro gateway di pagamento che punta al processore di pagamento di produzione. È il 100% l'impostazione che i clienti useranno. Vogliamo controllare i descrittori (cosa appare nella dichiarazione) e controllare che tutto funzioni.

Il nostro ragazzo PCI dice che questo è totalmente proibito. Le carte di credito live non possono essere utilizzate per i test. È vero? In caso affermativo, come si esegue il test finale? Naturalmente qualsiasi carta "test" fallirà, in quanto non sono carte valide. Abbiamo bisogno che la scheda funzioni, per verificare l'esperienza utente completa.

pci-dss

posta AviD 22.01.2012 - 18:04

fonte

3 risposte

Leggi altre domande sui tag pci-dss

Come calcolare il debito di sicurezza delle applicazioni? criteri di complessità della password per le password non "inglesi"

score 8 · Answer 1

Chiedigli come puoi garantire che il tuo sistema funzioni, se non puoi eseguire un test con una vera carta di tua proprietà. Inoltre, che cosa stai testando? Forse stai facendo il tuo ordine per il tuo utilizzo. ;)

La regola è progettata per impedirti di afferrare tutti i numeri di carta di credito dei tuoi clienti e provare a utilizzarli nel tuo ambiente di sviluppo.

score 1 · Answer 2

Un modo per eseguire questo tipo di test è scrivere un emulatore di elaborazione dei pagamenti. Scrivi un piccolo programma che implementa lo stesso protocollo del tuo processore di pagamento. Potrebbe essere necessario leggere tra le righe della documentazione del processore di pagamento per farlo, ma può essere fatto.

Quindi, puoi utilizzare stringhe a 16 cifre nel formato del numero di carta di credito (checksum Luhn) che non corrisponde a nessun BIN o IIN reali. Puoi eseguire test case come tempi di risposta molto lunghi, risposte formattate in modo errato, risposte brevi e un "numero di carta di credito" con un limite di credito. Puoi anche avere "numeri di carte di credito" che producono cali specifici.

L'emulatore rifiuta sempre una richiesta di autorizzazione di pagamento con un numero di carta di credito ben formattato. Autorizza solo su alcuni "numeri di carte di credito" specifici che non possono esistere nella vita reale perché il BIN o il IIN non corrispondono a quelli di una vera banca. In questo modo, quando il progetto di qualcuno diventa attivo e lo lasciano puntato al tuo emulatore o sistema di test, l'emulatore non emetterà false autorizzazioni che potrebbero causare problemi al tuo sistema contabile con un pagamento reale che non si verifica al momento del pagamento.

score 0 · Answer 3

Pensavo che fosse coperto da PCI DSS, ma non riesco a trovarlo nella sezione 3 esplicitamente coperta di PCI DSS 3.1. Ho perso questo o questo più di un requisito processore / gateway. In entrambi i casi, è ancora una buona idea contro gli account di prova.

Abbiamo clienti che hanno lo stesso bisogno. Un'opzione consiste nel memorizzare alcune transazioni reali se si utilizzano le schede di salvataggio e quindi eseguirle come prime transazioni. Questo è più problematico in un ambiente presente di carte. Abbiamo avuto clienti che eseguono la transazione tramite una carta dell'azienda e il credito della carta di credito immediatamente dopo.

È necessario verificare le impostazioni dell'account live per tutti i tipi di carta. Visa / MasterCard può funzionare ma Discover o AMEX. Convalida dell'indirizzo, la convalida CVV non può essere eseguita completamente come transazioni di prova come conti di prova.

Non sono un QSA, ma la mia comprensione è accettabile da PCI DSS e dal gateway / processore. Vuoi essere sicuro di non annullare troppe transazioni in quanto potresti attivare un avviso relativo a troppe inversioni, in quanto questo può essere un segno di frode.