Determinazione del livello SAQ PCI DSS

5

Ho un SaaS B2B che i miei clienti utilizzano poi con i propri clienti per raccogliere dati in uno scenario faccia a faccia con iPad, vorrei espanderlo per prendere i dettagli della carta di credito. I dettagli della carta di credito verranno archiviati con una terza parte conforme PCI.

Per l'elaborazione potrei avere il numero della carta di credito passare attraverso il mio server (e collegarlo alla terza parte menzionata sopra) o usare un'altra terza parte come spreedly.com per eseguire l'elaborazione trasparente (dove il numero della carta di credito non tocca il mio server)

Poiché sono definito come fornitore di servizi e i volumi sono bassi, penso che l'unica opzione sia "SAQ D per i fornitori di servizi". Sembra che sia il più rigoroso (e quindi il maggior costo) delle SAQ e che se avessi quella conformità potrei elaborare i dati CC sui miei server e persino memorizzare i dati CC se lo volessi.

Per me sembra strano che avrei bisogno dello stesso livello di conformità se i dati CC non hanno mai toccato il mio server come se avessi scelto di memorizzare i dati CC (o almeno di elaborarli sul mio server)! Quindi la mia domanda è che ho capito bene o mi manca qualcosa?

E a parte questo, i miei clienti avrebbero bisogno di avere un certo livello di conformità PCI, dato che raccoglieranno i dati CC? Anche se tutto passerebbe attraverso il mio sistema e le terze parti connesse.

Modifica: non ho detto che il flusso di denaro finisce nella banca dei clienti, non mio, se questo ha senso. Quindi penso che il cliente sarebbe responsabile di assicurare che usassero un fornitore conforme PCI e anche la loro banca avrebbe dettato quale conformità avrebbero avuto bisogno di raggiungere separato da me. Quindi suppongo che non sarebbe mia responsabilità garantire che il client abbia la conformità PCI, ma non è sicuro.

    
posta Richard 15.12.2014 - 22:30
fonte

3 risposte

2

Se esternalizzi tutti i dati di titolari di carta a una terza parte e richiedi la conformità da solo, allora i requisiti applicabili per la SAQ A sono applicabili a te. Sebbene il PCI DSS sia costituito da un gran numero di requisiti (ad esempio SAQ D), la maggior parte di questi non sarà applicabile a te se non gestisci i dati dei titolari di carta. A seconda dei volumi, non è possibile qualificarsi per completare un questionario SAQ. In questo caso avresti un riepilogo esecutivo completo in un ROC (rapporto sulla conformità) e solo i requisiti applicabili saranno convalidati.

Se desideri trasmettere, elaborare o archiviare i dati di titolari di carta, molti dei requisiti della norma saranno applicabili per la convalida e il costo e il tempo di conformità aumenteranno, anche se, in ultima analisi, potrebbero darti maggiore libertà (e esporli a maggior rischio).

Se i tuoi clienti gestiscono i dati dei titolari di carta, devono essere conformi. Se ti esternalizzano questo, devi dimostrare loro che sei conforme. Naturalmente, è possibile trasferirlo ulteriormente a un'altra terza parte conforme. per esempio. il commerciante A può utilizzare il fornitore di servizi B che utilizza il fornitore di servizi C per gestire i dati del titolare della carta di A del commerciante. In questo caso, il commerciante e entrambi i fornitori di servizi devono essere conformi anche se solo una singola entità, fornitore di servizi C, gestisce i dati dei titolari di carta.

    
risposta data 16.12.2014 - 04:40
fonte
1

Se i dati CC non hanno mai toccato i tuoi server, non saresti un fornitore di servizi (PCI), quindi no - lo stesso livello di requisiti di conformità non si applica in entrambi i casi. (Ciò detto, SAQ D copre la maggior parte dei casi, quindi sì, copre una vasta gamma di coinvolgimento).

Sì, i tuoi clienti dovranno avere un certo livello di conformità PCI mentre stanno raccogliendo i dati. Per definizione :

PCI DSS applies to all entities involved in payment card processing—including merchants, processors, financial institutions, and service providers, as well as all other entities that store, process, or transmit cardholder data and/or sensitive authentication data.

Vuoi pensare a collaborare con un fornitore di servizi per portarti il più lontano possibile dal ciclo. Se sei un fornitore SaaS, concentrati su S e S e non sul CC.

Aggiornamento seguente commento

Non credo che abbiamo tutte le informazioni qui.

Se sei un fornitore SaaS, il software è " centralmente ospitato ", il che significa che viene eseguito sui tuoi server. Se quel software memorizza, elabora o trasmette i dati delle carte, sei un'entità PCI e devi capire dove ti trovi nel mondo della conformità. Potresti essere in grado di ottenere aiuto dal tuo Acquirer o Processore per determinare quali sono i tuoi requisiti di conformità (non puoi fare nulla con quelle carte senza un Acquirer o un Processore, e sono quelli che (per esempio) raccolgono il tuo SAQ e , si spera, ti aiuti a capire quale si applica).

Se stai semplicemente fornendo software per altre persone da eseguire sui loro sistemi e vuoi aggiungere funzioni relative a carte di credito, probabilmente stai sfuggendo a PA-DSS territorio -" lo standard di dati definitivo per i fornitori di software che sviluppano applicazioni di pagamento ". È un territorio più complesso.

Se stai integrando il software di qualcun altro - qualcosa come l'API di un Processore - nel tuo, allora semplicemente non lo so, ma ancora una volta, il Processore che fornisce l'API dovrebbe fornire una guida sugli obblighi PCI di chiunque usi il loro software. Sono fuori dalla mia profondità e non posso dire molto uso.

Per quanto riguarda il tuo commento "difficile vedere dove ti trovi" - il sistema è molto complesso; considera questo da Wikipedia su Processore Vantiv : "Un'altra evoluzione dell'accettazione dei pagamenti è arrivata sotto forma di fornitori di software integrati (ISP) , Facilitatori di pagamento (PayFac) e rivenditori a valore aggiunto (VAR). " Credo che i PayFac cadano almeno come commercianti e non come prestatori di servizi. Ho controllato, e PayFac almeno ricadono come fornitori di servizi (lavoro a Vantiv e chiedo a un collega in conformità). Che va a - di nuovo - parla con il tuo Processore o Acquirer. Potrebbero o potrebbero non essere d'aiuto, ma sono un inizio.

    
risposta data 15.12.2014 - 23:29
fonte
0

I miei pensieri: Qui è un buon collegamento che spiega i diversi livelli di SAQ. Se si è un fornitore di servizi, è necessario compilare SAQ D per il fornitore di servizi. I tuoi clienti avranno sicuramente bisogno di ottenere la conformità PCI in quanto raccolgono dati CC.

Un'altra cosa che potrebbe aiutarti con questa scoperta è il documento di supplemento per le informazioni sulla sicurezza della sicurezza di terze parti PCI all'indirizzo questo link.

Sono d'accordo con le risposte di cui sopra che è meglio chiedere al processore / acquirente.

    
risposta data 08.08.2015 - 00:34
fonte

Leggi altre domande sui tag