Problema di conformità PCI

2

La mia azienda sta cercando di diventare pienamente compatibile con PCI e stiamo cambiando i nostri sistemi obsoleti per utilizzare CIM Authorize.net tra le altre cose. Ma, al momento, siamo dappertutto e fino a quando il nostro nuovo sistema di gestione del database non viene aggiornato, non ho un posto in cui posso temporaneamente memorizzare le carte di credito per i pagamenti su una fattura.

Attualmente, quando un cliente chiama e vuole pagare il conto, compila un modulo di pagamento online (che tra le altre cose include il numero della carta di credito) che viene inviato via email (lol oxymoron) in modo sicuro per un periodo temporaneo di tempo (prima che venga inviato al nostro sistema di database e quindi inviato a authorize.net per essere addebitato). O ancora peggio, a volte è scritto su un pezzo di carta! Non bello ... È solo il numero, però, nessun CVV2 o altro.

C'è QUALUNQUE metodo che ci permetta di memorizzare solo un numero di carta di credito e un identificativo per esso (localmente o remotamente) che sia conforme allo standard PCI? Non posso usare CIM per questo dato che questi sono solo numeri sparsi senza account al momento dell'iscrizione, troppo complicato e il nostro nuovo sistema lo userà. Ho bisogno di una soluzione più rapida per ora. In pratica mi piacerebbe poter dire "Memorizza carta di credito xxxxxxxxxxxx1234 QUI con ID 5" e poi tornare indietro e dire "Prendi la carta di credito con ID 5". Solo così è memorizzato in modo criptato da qualche parte in modo conforme allo standard PCI.

    
posta TheFrack 06.12.2012 - 14:37
fonte

3 risposte

2

Stavo provando a pensare alla soluzione più semplice possibile per te. Quello che mi è venuto in mente è semplicemente scrivere tutte le informazioni necessarie in un doc txt usando Notepad ++, quindi criptare semplicemente l'intero contenuto del file. Quando hai bisogno di ottenere un numero o di aggiungere un numero, basta scendere completamente dalla rete in modo da non essere affatto collegato, quindi decrittografare il file usando la password che hai trovato.

C'è un modulo plugin incorporato per farlo in notepad ++. Puoi trovare i dettagli qui: link

Naturalmente questo non è in alcun modo una soluzione a lungo termine o perfettamente sicura. Ma per un modo veloce e sporco di archiviare solo alcuni dati crittografati, questo dovrebbe fare la differenza. Tuttavia, non sono sicuro di questo incontro PCI, un QSA potrebbe avere un fieno giorno con questo lol

    
risposta data 06.12.2012 - 21:52
fonte
1

Authorize.net offre una funzionalità che consente di elaborare il pagamento sul proprio server e fornisce quello che è sostanzialmente un token di ricevuta. Questa potrebbe essere la soluzione migliore finché non si ottiene il sistema compatibile con PCI per gestire il numero CC da soli. A seconda del volume delle transazioni effettuate, potrebbe essere preferibile avere a che fare con problemi di conformità PCI. Sfortunatamente non ricordo il nome esatto della funzione su Authorize.Net per questo, ma è descritto come quello in cui si reindirizza alla propria pagina e si effettua una richiamata dopo che il pagamento è stato elaborato.

    
risposta data 06.12.2012 - 14:51
fonte
1

Dipenderà se vuoi o meno memorizzare queste informazioni tu stesso, e quale implementazione stai usando.

Se stai utilizzando la loro SIM (Metodo di integrazione del server), che è raccomandata nelle situazioni in cui desideri archiviare le informazioni della carta per facilitare la conformità PCI, puoi utilizzare la loro memoria della carta (Vault).

Se si utilizza AIM o se non si desidera utilizzare il proprio Vault, sarà sufficiente crittografare queste informazioni in un database sicuro che non è direttamente connesso a Internet per essere conforme PCI. Pertanto, puoi utilizzare un database con le informazioni che desideri e disporre di chiavi univoche associate alle informazioni necessarie.

Se utilizzi DPM, non dovresti preoccuparti di nulla di tutto ciò, poiché verrà gestito da Authorize.Net.

In futuro raccomanderei CIM, in quanto potrebbe facilitare alcuni di questi problemi che stai vedendo e potresti anche mappare queste informazioni agli account dei clienti locali, ecc.

Per ulteriori informazioni sulle loro best practice sulla sicurezza, puoi sempre visitare il seguente URL:

link

    
risposta data 06.12.2012 - 19:05
fonte

Leggi altre domande sui tag