Domanda di conformità PCI di un commerciante

Naviga le tue risposte
2

Sono un nuovo business che conduce aste online per vendite immobiliari. Durante la ricerca di software da utilizzare, non avevo idea di PCI Compliance. Il mio conto commerciale mi ha detto che era facile. Lo sarebbe se lo sviluppatore del software avesse creato un modulo ospitato dal mio sito al mio gateway di pagamento.

Perché non l'hanno fatto, mi è stato richiesto di avere una scansione AVS che non è riuscita. Lo sviluppatore del software (che è diverso dalla società proprietaria del software) mi ha detto che PCI Compliance era in balia e che ha un certificato SSL quindi tutto è crittografato e va bene. Ha detto di aver sentito parlare della conformità PCI poche volte dopo aver creato 700 siti Web e nessuno è stato in grado di dirgli cosa cambiare per essere conforme. I proprietari del software hanno anche affermato di non aver mai sentito parlare della conformità PCI - usano il software e così fanno circa 6-7 altre aziende indipendenti che non hanno mai avuto i loro account commercianti per chiedere PCI Compliance (presumibilmente). Ho terminato la mia relazione con questa azienda.

Ora sono in procinto di provare software da una società diversa che sia proprietaria del software e che ingaggia gli sviluppatori. Sostengono di avere un ambiente conforme al PCI, ma non usano nemmeno un modulo in hosting - usano le API per inviare le informazioni al gateway, il che probabilmente significa che avrò bisogno di effettuare la scansione ogni 90 giorni. Non sono preoccupato per l'inconveniente, ciò che mi preoccupa è la sicurezza e la sicurezza dei miei clienti e la mia responsabilità.

Sembra che io sia completamente all'amo per la conformità PCI, comprese le multe e i costi per sostituire le carte, ecc., ma gli sviluppatori / aziende di software non hanno pelle nel gioco e non hanno nulla da perdere e nessun incentivo a cambiare un modulo ospitato per rendere PCI Compliance ragionevole per i commercianti che non vogliono o non possono permettersi di creare il proprio software. È normale? Qualcuno può dirmi perché la conformità PCI è disponibile solo per il commerciante? Sono pronto a chiudere la mia attività perché sembra che io sia l'unico a tenere la borsa quando si tratta di conformità, eppure non ho alcun controllo sul software se non per la mia scelta di usarlo. Non dormirò di notte a meno che non sappia che sto facendo il meglio che posso per mantenere i dati dei miei clienti il più sicuri possibile. Qualcuno può fornire consigli o consigli qui? O è specifico per il mio particolare settore?

    
posta Kary 20.12.2017 - 00:27
fonte

3 risposte

4

In primo luogo, chiunque affermi che "la conformità PCI è baloney" è incompetente ; hai fatto assolutamente la cosa giusta allontanandoti da loro. Si noti inoltre che la responsabilità PCI significa che siete agganciati non solo per multe e sostituzioni di carte, ma anche tutte le frodi che sono state commesse con i dati delle carte rubate dal vostro ambiente. Se i ladri acquistano una flotta di Ferrari, hai quasi finito. (Ci sono altre sfumature alla responsabilità PCI, ma le vendite sul web sono praticamente garantite come l'opzione meno sicura, e saranno sempre più responsabili della colpa.)

Per quanto riguarda il software d'asta, considera la possibilità di cercare software che esegua le funzioni che desideri offrire, ma non esegue affatto l'elaborazione dei pagamenti. Ci sono molti giocatori nel gioco di elaborazione dei pagamenti; Poiché il criterio di sicurezza dello stack di Exchange vieta i consigli sui prodotti, non possiamo offrirvi un elenco specifico. Ci sono molte grandi aziende rispettabili che prendono soldi sul web; non dovresti avere problemi a trovarne uno.

Un buon modo per trovare un'azienda di pagamento è osservare come funzionano. La prossima volta che acquisti online, controlla se la società di pagamento ti porta al sito Web di marca per l'elaborazione dei pagamenti, quindi torna al sito del negozio dopo che il pagamento è stato approvato. Questo è il tipo di società di pagamento che dovresti cercare di assumere; mantiene tutto il rischio PCI dalle tue mani.

Una volta che hai visto come funzionano i vari giocatori nello spazio di pagamento, saprai cosa cercare e chi chiedere nel tuo acquisto di software d'asta. Alcuni potrebbero preferire un gateway di pagamento piuttosto che un altro o offrire solo un'opzione; questo potrebbe andar bene se non ti dispiace la scelta dei fornitori. Se la società di software d'asta non offre già tale integrazione integrata nel loro pacchetto off-the-rack, chiedi a quando intendono offrirlo, non a se . Fai sapere loro che comprerai solo un pacchetto che ti offre un completo isolamento dall'ambiente di pagamento.

    
risposta data 20.12.2017 - 04:32
fonte
2

È strano che le carte di credito siano onnipresenti e tuttavia la conformità PCI è relativamente inaudita, forse perché è difficile avvicinarsi e i consulenti ne approfittano. È fondamentalmente imperfetto, mette tutti i rischi sul commerciante, attraverso un sistema mal progettato, e prende tutti i profitti. Speriamo che le valute cripto possano aiutare in quest'area in futuro.

Ad ogni modo, praticamente parlando:

  1. dai un'occhiata al sito web per la documentazione ufficiale, che contiene anche un elenco di QSA ufficiali.

  2. Cerca un fornitore di servizi conforme PCI, ottieni l'attestato di conformità e segnala la conformità (fai questo ogni anno), assicurati che nel contratto che hai con loro si dica che sono conformi pci. In questo modo la responsabilità passa a loro se i loro sistemi hanno una violazione.

  3. Se vuoi configurare tu stesso la parte di pagamento usa una soluzione iframe o di reindirizzamento da Stripe / Paypal (praticamente ogni gateway di pagamento ha questa opzione), allora dovresti solo aver bisogno di SAQ A (il questionario di auto compliance più semplice) .

  4. Puoi provare a parlare con la tua banca mercantile, sono spesso molto utili. E / o puoi parlare con un QSA che ti darà consigli su cosa fare.

Non dovrebbe essere un grosso problema a meno che tu non stia cercando di fare qualcosa di carino, ma assicurati di coprire le tue basi. Buona fortuna!

    
risposta data 22.12.2017 - 02:24
fonte
-2

La conformità PCI è baloney solo se si desidera accettare pagamenti con carte di credito. Non penso che questo sia unico per il tuo settore: chiunque desideri prendere i pagamenti online deve essere conforme al settore delle carte di pagamento.

La cosa migliore da fare sarebbe coinvolgere un consulente che aiuti a costruire la conformità PCI della tua azienda. Potrebbe non essere economico, ma è molto meglio dell'alternativa. Sfortunatamente qui a SE, è fuori dalla portata di consigliare esattamente cosa fare o chi impegnarsi.

    
risposta data 20.12.2017 - 04:20
fonte

Leggi altre domande sui tag

Perché ospitare le librerie di terze parti invece di affidarsi a CDN, Nuget, GitHub? Come caricare un LKM dannoso all'avvio?