A quale livello di conformità PCI devo attenermi se non memorizzo, ma trasmetto dati?

2

Sto facendo un po 'di ricerche sul mio livello di conformità PCI, e sto attraversando un momento difficile per capire dove dovrei essere.

Ho un servizio web con fatturazione ricorrente. Il sito è stato creato usando PHP e Drupal. Accetto e trasmetto informazioni sulla carta di credito tramite un modulo e lo invio tramite POST crittografato TLS a Authorize.net per l'elaborazione e l'archiviazione.

Non memorizzo mai i dati della carta di credito.

Uso un servizio di hosting conforme allo standard PCI, con un server dedicato, fisico, dedicato.

Elaboro pochissime carte di credito. Ad esempio, nell'ordine di 1 ogni 2-3 mesi.

So che sono obbligato ad essere conforme allo standard PCI, ma non sono sicuro di quale livello sia, e penso che sia di livello A o C. Spero di raggiungere il livello A, ma sono non ne sono sicuro, perché ho bisogno di una fatturazione ricorrente, e l'API ARB di Authorize.net sembra essere l'unica che la supporta senza che io memorizzi nulla, quindi quindi crittografo e posto i dati su Authorize.net.

Grazie per eventuali risposte.

    
posta Nathan Lutterman 27.11.2013 - 22:53
fonte

1 risposta

6

Versione breve:

Forse SAQ C, ma attenzione, perché SAQ D è pieno di persone che pensavano di essere SAQ C. Se fornivi ulteriori informazioni, potrebbe non passare molto tempo finché annuii con saggezza e dissi " ah, sì, SAQ D. "

Versione lunga:

Se non lo hai fatto, dovresti leggere le Istruzioni e linee guida per il questionario di autovalutazione PCI DSS .

Non sei SAQ A . A è per "Commercianti non-presenti alla carta (e-commerce o posta / ordine telefonico), tutte le funzioni di dati dei titolari di carta esternalizzate ." (sottolineatura mia). Se il tuo server sta accettando un numero di carta, quindi ritrasmetterlo al tuo processore, stai trasmettendo i dati della carta, che è una funzione di dati dei titolari di carta.

Non sei SAQ B . B è per "Commercianti di sola stampa", cioè commercianti che hanno accesso alla carta fisica. "B" è per Brick & mortaio:).

Non sei SAQ C-VT . VT significa "terminali virtuali basati sul web", il che significa che il tuo dipendente si siede davanti a un computer e un telefono e digita i numeri delle carte che il cliente dice loro; il VT agisce esattamente come il terminale nella linea di pagamento al supermercato: parla al processore, riceve una risposta, non memorizza i dati della carta. Se i clienti inseriscono dati nel tuo server web, allora non è un VT.

potresti essere SAQ C . Se invii immediatamente richieste di autenticazione al tuo processore, non le memorizzi mai (come per il batch) e non hai altri sistemi che comunicano con il sistema che sta prendendo le carte, allora potresti qualificarti per C. Ma il kicker è " Il sistema di applicazione di pagamento / dispositivo Internet non è connesso a nessun altro sistema nel proprio ambiente ". Devi davvero essere il più minimale possibile. Questo è il punto in cui la sfumatura di trasmettere-ma-non-memorizzare può avere un impatto su di te, a proposito. Memorizzare i dati delle carte ti spingerà fino a D, solo la trasmissione potrebbe non - se debitamente limitata.

Questo ti lascia con SAQ D , "Tutti gli altri commercianti non inclusi nelle descrizioni per i tipi di SAQ dalla A alla C". È il SAQ più lungo, motivo per cui molti casi borderline sono abbastanza difficili da diventare un SAQ C.

Ma anche se sei SAQ D, se il tuo processore supporta la tokenizzazione, puoi ridurre il tuo raggio d'azione rispondendo "N / A" a molte domande e elencandole come controllo di compensazione. Ad esempio, DSS 3.4, il requisito per crittografare i numeri delle carte, può essere contrassegnato N / A se non si memorizzano mai i numeri delle carte ma si utilizzano invece token.

<disclaimer>
I work for Litle, but you might look into their PayPage + Vault,
which gives you tokenization and allows you to avoid having card
data transit your server.  Recurring payments, too, IIRC.
</disclaimer>
    
risposta data 28.11.2013 - 02:17
fonte

Leggi altre domande sui tag