Requisiti di conformità PCI quando fungono da pass-through per i dettagli della carta di credito

3

Sto lavorando per una startup e generiamo Mastercard prepagate da un emittente di carte. Nel nostro database salviamo un ID di riferimento della carta, non il PAN a 16 cifre o CVC. Successivamente facciamo un'API all'emittente della carta per ottenere PAN e CVC e POST questi in un negozio online rivenditore (il rivenditore utilizza Salesforce Commerce Cloud). Sul sito del rivenditore, PAN e CVC vengono elaborati dal processore di pagamento.

Tutte le comunicazioni (dai nostri server all'emittente delle carte e dai nostri server al negozio del rivenditore) avvengono su SSL. Penso che poiché non memorizziamo il PAN o il CVC e invece fungiamo da pass-through, non abbiamo bisogno di essere conformi allo standard PCI. È corretto?

    
posta Mark 06.07.2018 - 10:29
fonte

5 risposte

3

Da: link

The PCI DSS applies to ANY organization, regardless of size or number of transactions, that accepts, transmits or stores any cardholder data

Come indicato in precedenza, accetti e trasmetti i dati dei titolari di carta da te al rivenditore, quindi sì, devi essere conforme PCI.

    
risposta data 06.07.2018 - 10:37
fonte
0

Come un'altra risposta dice, dal momento che hai un livello di visibilità deliberata nei PAN, devi soddisfare i requisiti PCI.

Ci sono ritagli strutturali, come gli ISP che non devono presentare rapporti sulla conformità per i PAN che transitano in chiaro sui loro fili, perché questi PAN sono responsabilità dei clienti dell'ISP. Ma la domanda descrive un chiaro scenario di conio e scambio di PAN, quindi è possibile dimostrare che si assume la responsabilità e deve mantenere una pratica di conformità.

Il livello di conformità dipende dal numero di transazioni a cui partecipi, il che nel tuo caso, dal momento che sembra vedere il PAN su ogni transazione con il titolare della carta, potrebbe essere sostanziale. C'è anche una differenza sostanziale nei requisiti di conformità che dipende dal fatto che si "memorizzano" i PAN "a riposo" o semplicemente si lavora con essi "in transito", con il secondo che comporta meno requisiti.

Sembra che dovresti essere in grado di mantenere la tua conformità alle condizioni di transito, tuttavia puoi facilmente trovarti con un'architettura a riposo se fai cose semplici come "temporaneamente" i PAN della cache in un redis.

Ciò detto, sono curioso di sapere una cosa: con chi hai bisogno di avere questo rapporto di conformità. Dovrebbe avvenire attraverso la banca acquirente che appoggia l'emittente della carta, se non è una banca propriamente detta, e il contratto con l'emittente dovrebbe contenere una lingua in tal senso. In caso contrario, se si è già in attività e attualmente non si è a conoscenza di chi o con chi è necessario inviare un RoC o simili, è possibile che si sia creata una certa responsabilità.

PCI è fondamentalmente solo un gruppo di contratti commerciali, non un regolamento governativo come HIPAA. Se stai partecipando alla coniazione e allo scambio di PAN e qualcosa va storto e non hai disposizioni contrattuali e protezioni intorno a questo, o un'assicurazione che ti copre per questo, apparirà una causa che ti farà fallire.

Consiglierei di passare attraverso la lingua del tuo accordo con il tuo emittente prima, ci deve essere qualcosa lì.

    
risposta data 06.07.2018 - 14:05
fonte
0

La conformità PCI DSS è contrattuale, quindi la domanda importante è chi ha un contratto che richiede che tu sia conforme e chi ti chiederà di convalidare la tua conformità. In questo caso, la tua relazione è con un'emittente Mastercard prepagata, quindi il tuo contratto con loro richiederà senza dubbio di rispettare PCI DSS e fornire un rapporto sulla conformità (RoC) a loro.

    
risposta data 07.07.2018 - 00:24
fonte
0

Quindi, ci sono diversi livelli di conformità PCI DSS:

Leggi e amp; capire:

link

Molto lungo, ma è la tua conformità in gioco.

Credo (e non credetemi) che cadiate sotto SAQ C SE STATE UTILIZZANDO UN PROCESSORE DI PAGAMENTO DI TERZA PARTE per generare questi.

Se hai un hook in mastercard (essendo una startup ne dubito, ma è possibile), SAQ D potrebbe valerne la pena.

    
risposta data 07.07.2018 - 00:48
fonte
0

La conformità PCI è una buona cosa. Tuttavia, non è economico in molti aspetti. In definitiva, è necessario prendere una decisione aziendale se è necessario elaborare autonomamente i dati della carta di credito.

Raccomando di leggere la documentazione PCI DSS relativa a SAQ. A seconda dell'architettura e del volume delle transazioni, è possibile rientrare in una delle categorie SAQ che isola il sistema da un ambiente conforme PCI DSS completo. È molto probabile che dovrai comunque esternalizzare parte della tua pipeline di elaborazione delle carte di credito a un fornitore di conformità PCI.

    
risposta data 07.07.2018 - 14:15
fonte

Leggi altre domande sui tag