Guida alla conformità PCI

3

Sono nel bel mezzo della creazione di una soluzione e-commerce su un sito web commerciale. Il mio sistema memorizzerà il numero della carta sotto forma di: xxxx-xxxx-xxxx-4000 (solo le ultime 4 cifre) e XXX (niente) per il codice CVV. I dettagli completi sono inviati a un gateway esterno (corvo).

Vorrei solo sapere qual è il livello di conformità PCI DSS richiesto per i miei server.

Qui sotto puoi vedere 4 diversi livelli di opzioni di sicurezza.

link

Cordiali saluti,

    
posta mr12086 24.01.2012 - 10:00
fonte

1 risposta

4

PCI-DSS richiede di essere conforme se archivi, trasmetti o elabori carte di credito. Sebbene non li stia conservando per intero, il numero completo della carta di credito risiede mai (anche temporaneamente) sul tuo sito? Se è così, sei soggetto al SAQ-D.

L'unico livello (singolare) potenzialmente idoneo è il SAQ-A che tratta i commercianti che hanno transazioni di e-commerce o di posta / telefono.

Stati SAQ-A

  • La tua azienda gestisce solo transazioni con carta non presente (e-commerce o posta / telefono);
  • La tua azienda non memorizza, elabora o trasmette i dati di titolari di carta sui tuoi sistemi o locali, ma si affida interamente a fornitori di servizi di terze parti per gestire tutte queste funzioni;
  • La tua azienda ha confermato che le terze parti che gestiscono lo stoccaggio, l'elaborazione e / o la trasmissione dei dati dei titolari di carta è conforme allo standard PCI DSS;
  • La tua azienda conserva solo rapporti cartacei o ricevute con i dati di titolari di carta e questi documenti non vengono ricevuti elettronicamente; e
  • La tua azienda non memorizza i dati di titolari di carta in formato elettronico.

SAQ-B è per i commercianti che usano dispositivi di lettura delle carte.

SAQ-C è fondamentalmente per le aziende che utilizzano sistemi di calcolo Point-of-Sale o terminali virtuali.

SAQ-D è per tutti gli altri.

Sembra che i dettagli della carta siano che inseriscono il tuo sistema. Anche se le tue intenzioni sono di utilizzare un processore di terze parti, questa non è l'intenzione di SAQ-A. SAQ-A è pensato per l'elaborazione da parte di terzi in modo tale che i dettagli della carta non entrino MAI nel tuo sistema (pensa a Paypal).

    
risposta data 24.01.2012 - 15:26
fonte

Leggi altre domande sui tag