Ho bisogno della conformità PCI DSS quando utilizzo il Pagamento express di PayPal?

Naviga le tue risposte
4

Se utilizzo PayPal Express Checkout sul mio sito web, devo essere conforme PCI DSS?

PayPal afferma che "Con Pagamenti su sito web, Fatturazione online, Pagamenti rapidi e Pagamenti su sito web Pro ospitati, PayPal gestisce le informazioni della carta di pagamento per tuo conto e semplifica enormemente l'onere della conformità PCI." Cosa? "allevia notevolmente l'onere"? Cosa significa? Ne ho bisogno o no? Se lo faccio, quale versione ho bisogno? SAQ A? SAQ A-EP?

Aiutatemi, sono molto confuso e non sono sicuro che sia necessario rendere il lavoro conforme o meno.

    
posta Samadi 27.12.2015 - 14:04
fonte

2 risposte

4

IANAQSA ...

If I'm using PayPal Express Checkout on my website, am I required to be PCI DSS compliant?

Sì. Se un cliente visita il tuo sito web, inserisce qualcosa nel carrello, quindi fa clic su "Voglio pagare per questo materiale" e viene reindirizzato in qualche modo a una pagina di pagamento ospitata da qualcun altro, hai ancora Obblighi di conformità PCI.

With Website Payments Standard, Online Invoicing, Express Checkout and Website Payments Pro Hosted, PayPal handles the payment card information on your behalf and so greatly eases the burden of PCI compliance." What? "greatly eases the burden"? What does that mean?

"semplifica enormemente l'onere" significa che sarai idoneo per un SAQ meno oneroso di quanto non lo saresti se non usassi i loro servizi. Non ne so abbastanza dei diversi prodotti che hanno elencato lì, ma per esempio, la tokenizzazione può aiutare a ridurre l'ambito da SAQ-D a SAQ-C. Se la tokenizzazione è in uso e viene utilizzato un reindirizzamento web per trasmettere i dati di pagamento tramite i loro server, è possibile passare a SAQ-A EP o SAQ-A, a seconda del tipo di reindirizzamento utilizzato.

Guardando la descrizione del Pagamento express, probabilmente significa che stai guardando SAQ-A o SAQ-A EP.

Please help, I'm very confused and not sure whether I need to put the work into becoming compliant or not.

Devi diventare conforme. Nel caso di SAQ-A, è piuttosto semplice. Nel caso di SAQ-A EP, solo un po 'più complesso. Se vai su SAQ C +, ora hai del lavoro da fare.

Per scoprire quale livello di conformità è necessario, si lavora con il processore, che in questo caso sarebbe PayPal. Dì al tuo contatto di vendita che vuoi capire quali saranno i tuoi obblighi PCI e chiedi se puoi parlare con qualcuno nel loro dipartimento di conformità per capire quale SAQ rientrerai e qual è il processo per inviarlo a loro.

    
risposta data 27.12.2015 - 15:20
fonte
2

Dal link :

Our most popular products, like Website Payments Standard, Express Checkout and Invoicing, are already PCI compliant. And, because we handle your customers’ card information for you, you can forget about the time, cost and headache of maintaining PCI compliance.

Quindi, con la dicitura di PayPal, non è necessario eseguire qualsiasi se non si gestiscono i dati dei titolari di carta (deve includere almeno il PAN - Numero di conto primario - per una carta).

In primo luogo, le multe per inadempienza sono applicate ai prestatori di servizi di pagamento e ai grandi commercianti, quindi se PayPal fosse in linea per un'enorme multa, avrebbero garantito ogni commerciante utilizzando i loro servizi compilerebbe il questionario di autovalutazione (SAQ), poiché PayPal sarebbe responsabile di garantire che anche gli input nei loro sistemi siano conformi.

Anche la più semplice autovalutazione SAQ-A sarebbe al di là della maggior parte dei soli operatori economici per completare in modo affidabile se stessi, solo perché ha troppe considerazioni tecniche di cui non avrebbero idea.

Da questo diagramma ( collegamento ), anche la presenza di una pagina prodotto, indipendentemente dal fatto che raccolga i dati dei titolari di carta, sembra implicare che il SAQ-A-EP debba essere utilizzato. Tuttavia, SAQ-A-EP copre la situazione in cui il sito merchant fornisce simultaneamente css o javascript per mantenere la coerenza della presentazione tra i siti del commerciante e del provider, quindi il diagramma potrebbe semplicemente indicarlo, ma non in modo univoco.

In generale, ritengo che la documentazione PCI sia piuttosto ottusa e eccessivamente ampia poiché fa continuamente riferimento ai dati dei titolari di carta come i loro principali criteri, ma sembra voler controllare ogni sistema che alimenta il loro processo, indipendentemente dal fatto che il PAN sia incluso o no. Fornire le informazioni significa che i tuoi dati personali e la configurazione dettagliata dei tuoi sistemi vengono forniti a una o più terze parti, i cui sistemi e processi sono ritenuti affidabili.

La documentazione PCI fa riferimento alla situazione even if you don't store cardholder data , ma non espone separatamente in modo esplicito la situazione in cui i tuoi sistemi non gestiscono i dati dei titolari di carta nessun , cioè non raccolgono o trasmettono nemmeno esso. Tieni presente che i dati diventano cardholder data solo quando include il PAN, altrimenti sono solo i dati dei clienti che potresti conservare indipendentemente dal fatto che tu abbia preso i pagamenti con carta di credito, e pur avendo una buona sicurezza nella gestione dei dati dei dati dei clienti è buona, dovrebbe essere nessuna delle attività delle compagnie di carte, se non include il PAN.

Nota che, tecnicamente, PDT e IPN non restituiscono cardholder data , in quanto non includono il PAN con il cliente ei dettagli della transazione restituiti.

    
risposta data 28.03.2017 - 02:12
fonte

Leggi altre domande sui tag

In pratica, è sicuro impostare l'intestazione Strict-Transport-Security su richieste non SSL? decrittazione automatica