Sto sviluppando un sito di e-commerce per un cliente su Shopify, solitamente shopify si integra con molti gateway, ma per questa istanza, il cliente ci ha chiesto di creare un checkout personalizzato che si integri con un processore di pagamento non supportato da Shopify .
Lo sviluppo è terminato e tutto funziona perfettamente (il sito non è ancora attivo), tuttavia ho appena avuto l'idea geniale di verificare se il processo è conforme allo standard PCI DSS. Spero che tu possa consigliarmi su questo:
- Il sito è sviluppato su Shopify
- Il cliente effettua il check-out e inserisce i dati della carta nel sito di Shopify.
- I dati vengono trasmessi al nostro server (droplet) su Digital Ocean tramite una richiesta AJAX.
- Il cert HTTP del server è tratto da Let's Encrypt
-
Ho appena eseguito un test di conformità PCI DSS online sul link ei risultati sembrano buoni tranne per un problema (che provo per risolvere al più presto):
-
Il prezzo totale e le tariffe di spedizione vengono ricalcolati sul server & e la data viene inviata al gateway di pagamento.
- Vengono memorizzati solo i dati dell'ordine, ad eccezione di informazioni sulle carte.
Ho diverse domande:
- Sono già uscito dal bosco, o è ancora una lunga strada davanti a noi?
- Esiste un certificato di conformità PCI DSS ufficiale? è obbligatorio?
- Chi controllerebbe la validità del processo? come & quando?