Conformità PCI e PayPal

6

Per prima cosa perdona la mia ignoranza. Fino a questa settimana, l'unica "sicurezza della carta di credito" che ho capito era come hackerare i sistemi e perché scrivere pagine PHP con i tipi di funzionalità che faccio (msqli, pdo, query parametrizzata, ecc.). Secondo la mia ignoranza implicita, farò questa domanda il più solida possibile, tentando di non complicarla eccessivamente. (Forse è troppo tardi ora)

Ho controllato tutti gli standard di conformità PCI qui, così come Google fino all'estremo per 2 giorni e ho ancora qualche domanda, prima di iniziare a provare a mettere insieme un rapporto PoA da presentare al mio datore di lavoro fine di questa settimana.

Mi è stata inoltrata un'email da PayPal per diventare conforme PCI e da allora ho appreso che, a causa del nostro uso della funzione PP SDK DirectPayment , dobbiamo ottenere conformità e certificazione. Dopo averlo fatto, ho ricercato e ricontrollato la nostra attuale implementazione di SSL e checkout. Non memorizziamo alcuna informazione oltre al reso PayPal, che include gli ultimi quattro di un CC, ma niente di più. Esiste un breve periodo (dalla pagina di revisione alla finalizzazione dell'ordine) in cui le informazioni vengono memorizzate tramite $_SESSION e rimosse al termine del passaggio finale; in caso di esito positivo o negativo.

Le mie domande

  1. Questo passaggio temporaneo delle informazioni utente CC è conforme PCI?
  2. Diventando conforme allo standard PCI, è davvero così semplice come sembra:
    • a. Ottieni la scansione di conformità dal fornitore certificato
    • b. Completa un SAQ PCI DSS
  3. A proposito di questo SAQ, sto ancora avendo problemi, nonostante molte revisioni, comprendendo esattamente quale questionario ci serve?
    • a. Poiché attualmente lo capisco, ritengo di rientrare nella categoria: C-VT
    • b. vedi Checkout Info sotto
  4. Il nostro SSL corrente è con COMODO. Qualcuno può dirmi, se usiamo la stessa azienda per la nostra scansione di conformità PCI, saremmo ancora idonei a ricevere il set completo di servizi che riceviamo da PayPal?
    • a. Ho provato a chiederlo a PayPal e continuo a ricevere risposte basate su modelli che devono ancora rispondere a qualsiasi domanda che ho posto loro. (Potrebbe essere il secondo peggior servizio clienti che abbia mai visto)
    • b. In riferimento alla linea della documentazione di conformità PCI di PayPal: What happens if my business doesn't comply? From a PayPal perspective, your Website Payments Pro account may be limited and eventually suspended. Quindi, mi chiedo, è possibile garantire la conformità, oppure deve avvenire tramite uno dei fornitori di riferimento, di cui COMODO non è elencato .

Informazioni di controllo Abbiamo 3 modi di pagamento

  1. Con il metodo SDK PayPal sopra indicato DirectPayment . Utilizziamo un modulo, compilato il lato client e archiviato temporaneamente a $_SESSION per raccogliere le informazioni necessarie per "inviare il pagamento". Una volta inviati, tutti i dati $ _SESSION vengono cancellati e i dati di ritorno vengono salvati insieme ai dati dell'ordine, in caso di esito positivo. In caso di errore, i dati dell'ordine vengono mantenuti in sessione, ma le informazioni CC vengono eliminate e all'utente viene chiesto di riprovare o provare un metodo di pagamento diverso.
  2. Tramite il pulsante PayPal Express. Semplice come quella. Di nuovo, i dati di ritorno vengono memorizzati, ma a differenza dei dati di ritorno di DirectPayment , nemmeno gli ultimi quattro di CC vengono memorizzati. Solo le informazioni sull'ordine, il prezzo e il ritorno JSON espresso da PayPal.
  3. Per telefono, facendo nuovamente uso di DirectPayment . Uno dei nostri rappresentanti raccoglie semplicemente le stesse informazioni che l'utente immette sul sito pubblico, lo inserisce in una versione CRM dello stesso modulo e viene seguito lo stesso processo. Essendo la differenza principale, il rappresentante viene restituito alla pagina principale di CRM in un secondo momento, E non è necessaria alcuna memoria di $_SESSION , in quanto inoltrano il modulo direttamente dopo aver esaminato le informazioni sul telefono con il cliente.

Ancora una volta, mi scuso sinceramente se le mie domande hanno già una risposta qui e sto semplicemente trascurandole o se non sto capendo qualcosa che potrei avere.

Grazie in anticipo per qualsiasi aiuto.

    
posta SpYk3HH 11.11.2014 - 21:30
fonte

1 risposta

5
  1. Innanzitutto, i metodi di pagamento 1 e 3 richiedono che tu diventi PCI conforme, non importa per quanto tempo memorizzi queste informazioni, nel momento in cui tocchi i dati del titolare della carta devi essere conforme PCI. A seconda di cosa fai con i dati (ad es. Archiviazione) potrebbero essere applicati requisiti diversi.
  2. Bene, la parte facile è fare il vero SAQ ed essere controllati, la parte difficile è in realtà avere il tuo ambiente configurato in modo da passare effettivamente l'audit.
  3. Poiché si memorizzano temporaneamente le informazioni CC in una sessione, sono più propenso a SAQ D. Ricordare che C-VT non richiede alcuna memorizzazione di dati CC e che i terminali utilizzati per immettere i pagamenti devono essere isolati in un posizione singola e non connesso ad altri sistemi nel proprio ambiente. L'implementazione più comune è tramite terminali thin-client o singoli sistemi con accesso a Internet dedicato e restrizioni del firewall basate su host.
  4. Se COMODO è un fornitore di scansione accreditato (ASV), non dovrebbero esserci problemi.
risposta data 11.11.2014 - 23:13
fonte

Leggi altre domande sui tag