La conformità PCI è obbligatoria?

3

Recentemente ho iniziato a lavorare su un'aggiunta di eCommerce a un sito su cui sto lavorando. Nella mia ricerca alla ricerca di un modo per fare SSL senza un certificato / un certificato gratuito mi sono imbattuto in PCI Compliance. Ho letto i requisiti PCI DSS da: link e, a dire il vero, molto suona un po 'eccessivo per quello che sto facendo.

Il negozio a cui sto lavorando venderà circa 20 prodotti inizialmente a una piccolissima quantità di clienti. Stiamo utilizzando un provider di hosting e al momento abbiamo un totale di 3 dipendenti. La conformità PCI è obbligatoria o solo raccomandato e se non obbligatorio è davvero necessario in questo caso?

Grazie

    
posta Vinc 07.04.2014 - 14:18
fonte

2 risposte

4

Prima di tutto SSL senza certificato non è possibile, non tentare di eseguire il rollover della tua sicurezza perché fallirai. Potresti pensare "hey, come non sapresti che in realtà sono un ottimo esperto di crittografia", perché non faresti dichiarazioni del genere.

PCI-DSS è obbligatorio solo se stai elaborando i dati della carta di credito. Ciò significa che se si accettano e si memorizzano i dati della carta di credito, è necessario essere conformi allo standard PCI-DSS. Cosa succede se non sei conforme? Bene secondo questo riferimento :

If you do not meet the PCI standards for compliance and the security of your site gets compromised, you will be facing penalties and fines ranging from $5,000 to $500,000. The fines, however, are just the beginning of the overall damage caused by noncompliance.

If your website or company are not PCI compliant, you run the risk of losing your merchant account, which means you won’t be able to accept credit card payments at all. You will also be placed in the Visa/MasterCard Terminated Merchant File (TMF), making you ineligible to obtain another merchant account, at least for several years. The TMF, is essentially a BLACKLIST from which it is almost impossible to be removed.

When a merchant is added to the TMF, sometimes called The Match File, their name, business name, business address, and home address are all noted. So, you can’t just apply for a new account under the name of another family member or business partner because it will be seen as the same business and location.

Getting on The Match File is just about the worst thing that can happen to any merchant.

Ora, mentre leggi, c'è una multa, solo FYI la multa arriva ontop di tutte le accuse fraudolente (di cui sarai ritenuto responsabile anche).

Se stai pensando, "come posso fare affari se non posso accettare le carte di credito?" semplicemente utilizzando un gateway di pagamento come Paypal che si prende cura di tutti i pagamenti (e quindi toglie anche la necessità di essere conforme PCI-DSS).

    
risposta data 07.04.2014 - 14:30
fonte
0

La conformità PCI è necessaria se rientri nelle sue disposizioni. Le disposizioni si applicano, a diversi livelli, se si gestiscono le informazioni della carta di pagamento in alcun modo. Ciò include non solo l'elaborazione e la memorizzazione delle informazioni, ma anche il trasferimento delle informazioni attraverso i tuoi server. Se, ad esempio, hai inserito le informazioni della carta di pagamento (sul tuo server) e l'hai trasmessa direttamente a un processore di terze parti, anche senza memorizzarle, avresti comunque la responsabilità di implementare porzioni di PCI-DSS.

Puoi anche ottenere maggiori informazioni nel tuo contratto di servizio commerciale che è il documento che accetti di seguire quando ottieni l'accesso per elaborare i pagamenti con carta di credito sulla rete della carta di credito.

    
risposta data 07.04.2014 - 15:32
fonte

Leggi altre domande sui tag