La conformità PCI-DSS è richiesta con i pulsanti Donazione / Pagamento PayPal sui siti web?

Question

La conformità PCI-DSS è richiesta con i pulsanti Donazione / Pagamento PayPal sui siti web?

#1 da (4 voti)
#2 da (3 voti)

8

Recentemente leggendo su PCI-DSS 3: Desidera conferma di ciò che sto interpretando qui - hai bisogno di PCI-DSS SAQ-A per avere i link di pagamento delle carte di credito o gli URL delle donazioni sul sito web di un commerciante?

Ad esempio: Se un'azienda o un'organizzazione benefica gestiva la propria pagina Web con un pulsante di donazione standard PayPal su di essa per una donazione con un collegamento a PayPal che accetta carte di credito, la sua pagina Web deve essere conforme allo standard PCI-DSS o no?

Sono confuso, ma che rientri o meno in SAQ-A, dove definisce i reindirizzamenti dei link URL.

VISA non sembra includere questo scenario nella loro guida PCI-DSS: link

Se avere collegamenti richiede la conformità PCI-DSS, questo è abbastanza proibitivo per alcune organizzazioni benefiche che conosco - l'hosting e la manutenzione di un sito Web che è conforme allo standard PCI-DSS può essere troppo complesso e costoso per la loro manutenzione.

Come nota a margine, se la presenza di una carta di credito che accetta il pulsante PayPal significa che il sito Web del commerciante deve essere conforme allo standard PCI-DSS, l'inserimento di un link sul sito di un commerciante potrebbe non essere meno sicuro rispetto alla condivisione su social media (Facebook, Twitter) o altre piattaforme di condivisione (Twitch, bacheche / forum)? Ciò influisce sui collegamenti URL diretti a una pagina di pagamento con carta di credito PayPal dalla pagina dei social media di un commerciante?

La mia lezione da imparare potrebbe essere quella di essere più cauto con i moduli di pagamento con carta di credito.

Ho controllato altre domande simili ma non indirizzano l'uso dei pulsanti PayPal. Una situazione simile potrebbe utilizzare Razoo.

Modifica: Dopo un po 'più di lettura, il commerciante deve prestare attenzione alla conformità PCI-DSS. Il punto di partenza pratico per l'autovalutazione sarebbe comunque SAQ A a tutti gli effetti. Manca la documentazione pubblica di PayPal, ma ho trovato alcune raccomandazioni da Recurly: link

A merchant must always be PCI compliant if they accept credit card payments online (even if the card is entered on another site). If using HPP, Recurly’s recommendation is to complete SAQ A. (HPP - hosted payment pages)

websites paypal pci-dss

posta Chislon Chow 31.01.2016 - 08:39

fonte

2 risposte

Leggi altre domande sui tag websites paypal pci-dss

Prefissi del nome della tabella del database e sicurezza per oscurità Costruire una backdoor per la crittografia completa del disco

score 4 · Answer 1

Il commerciante o ente di beneficenza che accetta solo PayPal e utilizza un meccanismo che reindirizza il cliente / donatore al sito di PayPal non gestisce affatto la carta di credito. PayPal lo fa, prende una commissione per il servizio e rimette il resto al commerciante.

Quindi, PayPal deve conformarsi a PCI-DSS, ma il commerciante che usa solo PayPal e lo fa con il reindirizzamento a PayPal no. La banca del commerciante può richiedere loro di completare il questionario di autovalutazione A. È applicabile come segue "SAQ I commercianti possono essere commercianti di e-commerce o di posta / telefono (carta non presente) e non archiviare, elaborare, o trasmettere i dati di titolari di carta in formato elettronico sui loro sistemi o locali. " Per completarlo sarà necessario selezionare "Non applicabile".

score 3 · Answer 2

PCI si applica a QUALSIASI organizzazione o commerciante, indipendentemente dalle dimensioni o dal numero di transazioni, che accetta, trasmette o archivia i dati di titolari di carta. Detto in altri termini, se un cliente di tale organizzazione paga il commerciante direttamente utilizzando una carta di credito o di debito, si applicano i requisiti PCI DSS.

link

Ma: in base al rapporto sul benchmark Sage Pay un quarto dei proprietari di negozi online non sa nemmeno di PCI-DSS. E molto più mai non lo implementa. La soluzione è semplice: per evitare la costosa certificazione, i negozi non memorizzano NESSUNA informazione della carta di credito, quindi non hanno l'obbligo di prendersene cura. Certo, questa soluzione si basa sulla sicurezza della trasmissione.