Sono un nuovo business che conduce aste online per vendite immobiliari. Durante la ricerca di software da utilizzare, non avevo idea di PCI Compliance. Il mio conto commerciale mi ha detto che era facile. Lo sarebbe se lo sviluppatore del software avesse creato un modulo ospitato dal mio sito al mio gateway di pagamento.
Perché non l'hanno fatto, mi è stato richiesto di avere una scansione AVS che non è riuscita. Lo sviluppatore del software (che è diverso dalla società proprietaria del software) mi ha detto che PCI Compliance era in balia e che ha un certificato SSL quindi tutto è crittografato e va bene. Ha detto di aver sentito parlare della conformità PCI poche volte dopo aver creato 700 siti Web e nessuno è stato in grado di dirgli cosa cambiare per essere conforme. I proprietari del software hanno anche affermato di non aver mai sentito parlare della conformità PCI - usano il software e così fanno circa 6-7 altre aziende indipendenti che non hanno mai avuto i loro account commercianti per chiedere PCI Compliance (presumibilmente). Ho terminato la mia relazione con questa azienda.
Ora sono in procinto di provare software da una società diversa che sia proprietaria del software e che ingaggia gli sviluppatori. Sostengono di avere un ambiente conforme al PCI, ma non usano nemmeno un modulo in hosting - usano le API per inviare le informazioni al gateway, il che probabilmente significa che avrò bisogno di effettuare la scansione ogni 90 giorni. Non sono preoccupato per l'inconveniente, ciò che mi preoccupa è la sicurezza e la sicurezza dei miei clienti e la mia responsabilità.
Sembra che io sia completamente all'amo per la conformità PCI, comprese le multe e i costi per sostituire le carte, ecc., ma gli sviluppatori / aziende di software non hanno pelle nel gioco e non hanno nulla da perdere e nessun incentivo a cambiare un modulo ospitato per rendere PCI Compliance ragionevole per i commercianti che non vogliono o non possono permettersi di creare il proprio software. È normale? Qualcuno può dirmi perché la conformità PCI è disponibile solo per il commerciante? Sono pronto a chiudere la mia attività perché sembra che io sia l'unico a tenere la borsa quando si tratta di conformità, eppure non ho alcun controllo sul software se non per la mia scelta di usarlo. Non dormirò di notte a meno che non sappia che sto facendo il meglio che posso per mantenere i dati dei miei clienti il più sicuri possibile. Qualcuno può fornire consigli o consigli qui? O è specifico per il mio particolare settore?