Tutti i fornitori di software che hanno memorizzato le informazioni della carta di credito nei loro database sono soggetti a PCI-DSS o solo alcuni?

6

È un fornitore di software commerciale che vende software per l'uso negli Stati Uniti, soggetto o richiesto legalmente per implementare PCI-DSS se il loro software include una funzionalità che consentirà la raccolta e l'archiviazione delle informazioni della carta di credito, ma che non fa l'elaborazione dei pagamenti stessa come parte delle funzionalità del software?

Detto venditore di software NON avrebbe elaborato il pagamento utilizzando questo software ma semplicemente crittografando e archiviando le informazioni della carta di credito ai fini della semplificazione dell'elaborazione manuale dei pagamenti utilizzando il software di un altro fornitore. Cioè, questo ipotetico fornitore di software sta semplicemente producendo software in grado di comunicare con altri sistemi di pagamento, ma che non è un sistema di pagamento basato sul software stesso. (Ad esempio, forse comunica a Digital River o ad altri sistemi di elaborazione dei pagamenti online e memorizza le informazioni della carta di credito in un database, in forma crittografata.)

    
posta Warren P 23.10.2012 - 18:53
fonte

2 risposte

8

Prima di tutto - PCI-DSS si applica agli ambienti , non ai prodotti.
In altre parole, si applica al tuo sito Web, ma non al prodotto confezionato che vendi ai tuoi clienti.
D'altra parte, potrebbe riguardare i tuoi clienti , che avrebbero quindi bisogno del tuo prodotto per adattarsi alla loro conformità.

A tal fine, i borsisti PCI hanno introdotto PA-DSS - questo vale per prodotti, che possono essere installati in ambienti di clienti (che sarebbero poi tenuti a rispettare PCI).

Ora, per quanto riguarda il tuo prodotto specifico, il PA-DSS si applicherebbe assolutamente, dal momento che memorizzi o elabori i dati delle carte (anche senza elaborare il pagamento).

Dalla Domande frequenti sulla PA :

For the purposes of PA-DSS, a payment application eligible for review and listing by the PCI SSC is defined as an application that:
a) stores, processes, or transmits cardholder data as part of authorization or settlement;
and
b) is sold, distributed, or licensed to third parties

    
risposta data 23.10.2012 - 19:11
fonte
3

Is a commercial software vendor who sells software for use in the United States, subject to, or legally required to implement PCI-DSS if their software includes a feature which will allow the collection and storage of credit card information, but which does not do payment processing itself as part of the software's features?

NO. Non sono richiesti legalmente per implementare PCI-DSS. In effetti, NOBODY è "legalmente richiesto" per implementare PCI-DSS. Ciò implica che esiste una legge che lo impone. Non c'è. PCI-DSS è un requisito CONTRATTUALE se si dispone di un account commerciante.

I clienti che utilizzano il software per ricevere le informazioni sulla carta di credito dovrebbero essere conformi PCI. E potrebbe essere necessario utilizzare solo il software compatibile con PA-DSS. Se hanno un carrello della spesa in casa, non è necessario che sia conforme al PA-DSS. Se utilizzano un'app di terze parti venduta / distribuita (come ad esempio la tua, presumibilmente), deve essere conforme a PA-DSS. "PA-DSS NON si applica alle applicazioni di pagamento offerte dall'applicazione o dai fornitori di servizi solo come servizio (a meno che tali applicazioni siano anche vendute, concesse in licenza o distribuite a terzi." - link (dovresti leggere questo documento)

Ma questo è il loro problema, non il tuo a meno che non lo faccia tuo rifiutando di acquistare il tuo software (che è del tutto possibile).

Se non si dispone di un account commerciante e il contratto che lo accompagna, PCI non è un problema. No, a meno che tu non accetti di renderlo il tuo problema per un cliente.

    
risposta data 08.05.2013 - 21:40
fonte

Leggi altre domande sui tag