Conformità PCI DSS su shopify utilizzando il processore di pagamento del cliente

2

Sto sviluppando un sito di e-commerce per un cliente su Shopify, solitamente shopify si integra con molti gateway, ma per questa istanza, il cliente ci ha chiesto di creare un checkout personalizzato che si integri con un processore di pagamento non supportato da Shopify .

Lo sviluppo è terminato e tutto funziona perfettamente (il sito non è ancora attivo), tuttavia ho appena avuto l'idea geniale di verificare se il processo è conforme allo standard PCI DSS. Spero che tu possa consigliarmi su questo:

  • Il sito è sviluppato su Shopify
  • Il cliente effettua il check-out e inserisce i dati della carta nel sito di Shopify.
  • I dati vengono trasmessi al nostro server (droplet) su Digital Ocean tramite una richiesta AJAX.
  • Il cert HTTP del server è tratto da Let's Encrypt
  • Ho appena eseguito un test di conformità PCI DSS online sul link ei risultati sembrano buoni tranne per un problema (che provo per risolvere al più presto):

  • Il prezzo totale e le tariffe di spedizione vengono ricalcolati sul server & e la data viene inviata al gateway di pagamento.

  • Vengono memorizzati solo i dati dell'ordine, ad eccezione di informazioni sulle carte.


Ho diverse domande:

  • Sono già uscito dal bosco, o è ancora una lunga strada davanti a noi?
  • Esiste un certificato di conformità PCI DSS ufficiale? è obbligatorio?
  • Chi controllerebbe la validità del processo? come & quando?
posta user2517028 17.06.2017 - 19:51
fonte

2 risposte

2

Potresti avere ancora un modo per andare, ho paura.

Se i dati della carta toccano il tuo server, allora il tuo server è in ambito.

Se il tuo server non è segmentato dal resto della rete, allora l'intera rete è in ambito. potrebbe includere l'accesso fisico agli edifici e a tutti i desktop dell'azienda.

Puoi ottenere un controllo se vuoi essere assolutamente sicuro che sei conforme, ma di solito viene fatto solo da persone che vendono soluzioni.

È un po 'tardi, ma se shopify non supporta questo gateway, probabilmente dovresti provare a trovare una terza parte. Il principale punto di forza di questo tipo di provider è che gestiscono la conformità PCI per te. Se non ti prepari per il mal di testa.

    
risposta data 17.06.2017 - 21:53
fonte
1

Ci sono esperti di sicurezza qualificati di terze parti che sono revisori che sono addestrati nella revisione PCI dell'azienda e che possono emettere un rapporto di verifica PCI indipendente. Se vuoi seguire questa strada, dovrai cercare e contattare un revisore che effettua servizi nel tuo paese. Di solito ciò è necessario solo se si hanno partner commerciali che richiedono di produrre prove della conformità PCI prima di condurre affari con voi.

In molti casi, la conformità PCI può essere auto-verificata. Dovresti iniziare con il Questionario di autovalutazione .

Nella maggior parte delle giurisdizioni, la PCI è autoregolata dal settore dei pagamenti, pertanto la conformità viene applicata dalle banche e dai processori di pagamento. Se scoprono che il tuo sito è correlato a molte transazioni fraudolente, possono richiedere che tu produca prove di conformità. Se ti accorgono di non essere in regola, possono imporre multe, restrizioni o, nel peggiore dei casi, rifiutare di gestire i tuoi pagamenti e potresti finire con una situazione in cui nessun operatore di pagamento sarà disposto a prendere i pagamenti con carta per te . Per molti business online che fanno affidamento sulla transazione con carta, questo può significare la fine del mondo. Inoltre, ci sono alcune giurisdizioni in cui la conformità PCI è anche un requisito legale, che comporta ulteriori sanzioni legali.

    
risposta data 19.06.2017 - 02:57
fonte

Leggi altre domande sui tag