Un po 'confuso sulla conformità PCI

Naviga le tue risposte
7

Ho un cliente che vuole che le costruisca un semplice sito di e-commerce per il suo piccolo quilt. Userò Stripe per la gestione della carta di credito. Le uniche informazioni che ho intenzione di mantenere sul mio sistema è il nome dell'utente. Tutto il resto verrà semplicemente incanalato su Stripe.

Poiché l'elaborazione dei pagamenti verrà gestita fuori sede, devo essere conforme PCI? Sono fondamentalmente solo preoccupato per eventuali costi nascosti da parte sua. Non può permettersi un audit o un test di penetrazione in aggiunta ai costi di sviluppo del sito. So che esiste un modulo di autovalutazione per le piccole imprese come la sua, ma non sono sicuro che sia tutto ciò di cui ho bisogno o che dovrei fare.

TLDR; Non sono sicuro di come procedere in un modo economicamente conveniente per lei, e ho bisogno di una guida.

    
posta Major Productions 07.12.2012 - 04:23
fonte

3 risposte

10

Venendo da una persona che si trova al centro dei problemi di conformità PCI in questo momento .. no. Non è necessario essere pci conformi se si utilizza un servizio di terze parti per inserire e gestire le carte di credito. Uno se i miei clienti più piccoli gestiscono un sito di commercio specializzato in gioielleria.

Fintanto che i dati del titolare della carta (PAN, banda magnetica, blocco PIN, ecc.) non vengono inseriti (e soprattutto memorizzati) sui sistemi, si lascia che il venditore che elabora il pagamento gestisca tutto il peso.

Per verificare se questo è vero, dovresti solo consegnare al tuo fornitore una quantità specifica di fondi o un elenco dettagliato. Se stai consegnando loro dettagli della transazione oltre a questo, dovrai consultare almeno un questionario di conformità di base.

Nota che non conosco il tuo fornitore. Se è qualcosa come PayPal, questo sarà vero.

    
risposta data 07.12.2012 - 05:21
fonte
1

Se comprendo correttamente la tua situazione, il sito del tuo cliente non deve necessariamente essere conforme allo stesso PCI, ma il tuo cliente è responsabile della selezione di un fornitore di servizi di pagamento (PSP) di terze parti conforme allo standard PCI. Il modo più sicuro per verificare la conformità è consultare l'elenco globale di PSP compatibili con VISA e confermare che l'azienda che si prevede di utilizzare è elencata. L'elenco è qui link Era un documento pdf che dovevi scaricare e cercare, ma di recente sono passati a un elenco online ricercabile.

I tuoi clienti che acquistano banca (dove finiscono i fondi delle transazioni con le carte) sono l'arbitro finale di ciò che esattamente i tuoi requisiti di conformità fanno o non includono, quindi è meglio controllare anche con loro.

Aggiornamento: In realtà ho appena riletto la tua domanda originale e il sito del tuo cliente MAGGIO deve essere conforme al PCI, a seconda di come stai implementando la funzionalità di pagamento. La conformità PCI è necessaria se un sito è TRANQUILLO, MEMORIZZANDO o TRASMETTANDO i numeri di carta. Da quello che dici non stai elaborando o memorizzando i dettagli della carta, ma il tuo sito potrebbe trasmetterli. Quando il cliente del cliente invia un ordine, se digiterà il proprio numero di carta in un modulo che viene pubblicato sul tuo sito e poi lo rinvii a Stripe, allora stai trasmettendo i dettagli della carta, anche se lo hai solo sul tuo sito per un microsecondo. Tuttavia, alcuni PSP hanno un modo di fare la funzionalità di pagamento dove i dettagli della carta vengono inviati direttamente a loro e i dettagli della carta non toccano mai il tuo sito. Se quello che sta facendo Stripe è il secondo, la mia risposta originale sopra vale ancora. se è il primo, è probabile che il sito del cliente debba avere scansioni trimestrali. Ancora una volta, torno al fatto che è la banca acquirente che prende la decisione finale su quali sono i requisiti di conformità.

    
risposta data 07.12.2012 - 15:43
fonte
1

Per comprendere il tuo carico di conformità, devi capire gli obiettivi del PCI. Il commento sopra indica che hai un carico di conformità dal momento che i dati della carta TRANSMIT sono vere. Tuttavia, se si è negligenti con i dati (non della carta di credito) che si memorizzano - nome del titolare della carta, indirizzo di spedizione, e-mail, ecc. Allora si potrebbe trovarsi nel bel mezzo di un costoso audit PCI (o meglio il vostro cliente lo farà). Gli hacker per definizione non sono persone oneste.

Cosa succede se si limitano a hackerare il tuo database, a ricevere tutte le e-mail di acquisto, a inviare via e-mail tutti gli acquirenti che hanno hackerato l'eStore del cliente e ottenere le informazioni relative alla carta di credito di tutti (anche se la parte relativa ai dati della carta di credito è una bugia) e presenti informazioni accurate sui venditori di corrieri come prova di avere i dati? Lo store del tuo cliente perderà un sacco di affari e dovrà pagare per un controllo PCI.

La conformità PCI ti impone di evitare che ciò accada. Ho visto questo accadere ad alcuni (precedenti) clienti - "ex" perché ho lasciato il progetto quando non avrebbero pagato il conto per misure di sicurezza adeguate. È stato richiamato post-compromesso. Se non mantengono i loro dati al sicuro, gli hacker troveranno un modo per farli pagare ...

    
risposta data 09.12.2012 - 23:47
fonte

Leggi altre domande sui tag

Cercando le porte del firewall 1863, 5190 SHA1 degli indirizzi e-mail sarà sempre univoco?