Provider di servizi SAQ-D senza CDE

Naviga le tue risposte
2

Forniamo un servizio di carrello acquisti con integrazioni a più processori di pagamento di terze parti (PayPal, Authorize.net, ecc.) in cui tutte le elaborazioni di pagamento avvengono sulle loro reti (cioè, nessun dato CC entra nelle nostre reti). Alcune delle nostre prospettive hanno affermato che siamo un fornitore di servizi ai loro occhi poiché controlliamo il reindirizzamento ai processori di pagamento.

Dato che non abbiamo CDE, possiamo rispondere "N / A" a tutti i requisiti SP SAQ-D che fanno riferimento al CDE?

Sto cercando di restringere il campo di applicazione che ritengo sia solo il server che esegue il reindirizzamento. Tuttavia dal momento che non memorizza, elabora né trasmette dati CC, ho difficoltà a capire come adattarsi all'interno di SAQ-D SP.

Sono sicuro che a un certo punto avremo bisogno di un QSA ma mi piacerebbe capire il più possibile, così posso almeno avere una conversazione intelligente e un elenco di domande prima di contrattare con loro.

    
posta William Jens 08.12.2017 - 20:57
fonte

2 risposte

3

Dipende da come si fa l'integrazione con il processore di pagamento. Facciamo finta per un minuto che sei un mercante - quindi i SAQ corretti sarebbero molto probabilmente SAQ A o SAQ A-EP a seconda dell'integrazione / re-direct / IFRAME / JScript.

Come fornitore di servizi non è possibile completare A o A-EP ma è necessario completare D o intraprendere un rapporto completo sulla conformità. Quello che devi fare è seguire le indicazioni contenute in queste domande frequenti su come basare una valutazione PCI DSS completa su una serie ridotta di requisiti contenuti in uno degli altri SAQ.

link

link

So che hai chiesto SAQ D e non una valutazione in loco, ma i principi descritti in queste domande frequenti sono gli stessi per un fornitore di servizi di assistenza tecnica D.

Per rispondere alla domanda su cosa sia il CDE per SAQ A e SAQ A-EP ci sono altre FAQ che potresti trovare utili.

link

In pratica, tutto ciò che può influire direttamente sull'integrità del reindirizzamento.

    
risposta data 10.12.2017 - 12:01
fonte
0

Ho parlato con QSA qualche tempo fa a riguardo, stavamo cercando di utilizzare un iframe o un reindirizzamento per ridurre il nostro ambito. Come fornitore di servizi si dovrebbe fare molto, ho sostenuto che dovremmo fare ciò che era applicabile per il SAQ A, ma non è stato d'accordo. Mi ci è voluto un po 'per venire in giro, ma ora sono d'accordo.

Pragmaticamente è necessario proteggere quel server (o qualsiasi altra cosa che si occupa di dati sensibili) con la sicurezza delle best practice in ogni caso, quindi potrebbe anche farti guidare da PCI. Non sarà difficile cambiare il reindirizzamento se hai problemi di sicurezza. Fastidioso che i commercianti non debbano farlo allo stesso livello per certi aspetti, ma alla fine è proteggere la tua attività.

Un rapido google e ho trovato questo article che dice approssimativamente lo stesso, che i server di reindirizzamento sono a parte del CDE. D'altra parte ho visto in un paio di punti il suggerimento di seguire le sezioni del SAQ A per questa situazione, quindi potrebbe dipendere solo dal QSA.

Come dici tu, parla con QSA. Sarebbe bello sapere cosa stai facendo, se hai voglia di condividere.

    
risposta data 17.12.2017 - 07:26
fonte

Leggi altre domande sui tag

Come proteggere file e cartelle cancellati? [duplicare] Che cosa fa il token URL in phpMyAdmin se non impedisce CSRF?