È conforme allo standard PCI di zinco.io (/ deve essere)?

2

zinc.io fornisce agli acquisti API per acquistare a livello di codice articoli su Amazon, Best Buy e Walmart per nominarne alcuni. Una breve osservazione della sua API ci dice che le informazioni della carta di credito sono state inviate e utilizzate dal loro server: esempio .

Sembra che per quanto riguarda la sicurezza:

  1. usa la crittografia SSL
  2. non memorizza mai le informazioni CC (anche se dicono che potrebbero averle in memoria)

Dalle loro Domande frequenti : "Utilizziamo la crittografia SSL a 256 bit di livello industriale su tutti gli endpoint dell'API. Il numero della carta e il login i dettagli sono in memoria sul server solo per la durata di ciascuna richiesta. "

Questo è tutto (anche se sinceramente non c'è modo di sapere per SURE se non sono conformi allo standard PCI, ma nulla sul loro sito sembra suggerire il contrario).

La mia domanda è, se volessi offrire un servizio simile (ad esempio, effettuare acquisti per conto dei consumatori con le loro informazioni cc), devo (/ sono?) essere conforme PCI? Oppure, è semplicemente sufficiente per (1) usare SSL sul mio sito e (2) non scrivere mai informazioni CC sul mio DB?

Modifica

Quindi alla fine ho ricevuto una risposta dalla gente di zinco.io dopo tutto! Ecco cosa hanno da dire:

Hey there,

Sorry for the delayed response -- we noticed your question here as well :) We are very much still operating.

The response you received there was very detailed and mostly accurate. However, we are indeed PCI compliant -- at our scale of operation it is self-enforced, so the comment about "getting their quarterly ASV scans and not mentioning it" doesn't apply here. We do comply with everything on the SAQ.

Cheers, Max

    
posta youngrrrr 07.06.2015 - 04:07
fonte

1 risposta

1

Dichiarazione di non responsabilità: I Am Not A QSA; Io non sono un avvocato

My question is, if I wanted to offer similar service (i.e. make purchases on behalf of consumers with their cc info), must I (/are they?) be PCI compliant? Or, is it simply enough to (1) use SSL on my site and (2) never write CC info to my DB?

Sì, avresti bisogno di essere conforme allo standard PCI. Saresti in grado di trasmettere ed eventualmente elaborare dati di titolari di carta per conto di commercianti. L'archiviazione dei dati dei titolari di carta è solo una delle tre cose sufficienti per metterti in campo.

Potresti riuscire comunque a farlo senza la conformità PCI. Potresti essere al di fuori dei normali metodi di applicazione PCI. A Visa potrebbe non interessare abbastanza di mandare avvocati. Detto questo, non consiglierei di testare quelle possibilità a tutti .

Mi dilungherò su questo affrontando il resto della tua domanda.

Zinc.io sembra soddisfare la definizione PCI di un fornitore di servizi :

Service Provider: Business entity that is not a payment brand, directly involved in the processing, storage, or transmission of cardholder data on behalf of another entity.

Per lo meno stanno trasmettendo i dati dei titolari di carta - li ricevono e poi li inviano al commerciante. Potrebbero o non potrebbero processarlo.

Non vengono visualizzati nel registro globale dei fornitori di servizi Visa . Ciò potrebbe significare semplicemente che sono Fornitore di servizi di livello 2 , perché "entità che desidera essere nel Registro globale dei fornitori di servizi deve convalidare come fornitore di livello 1. "

(IANAQSA, ma le uniche volte in cui ho sentito un QSA menzionare i SP di livello 2 è stato per eliminarli).

Suppongo che PCI consideri il titolare della carta una "entità" ai fini di tale definizione. In caso contrario, potrebbe essere una scappatoia interessante. Poiché la cosa veramente interessante è che non è chiaro che Zinc sia nella catena di applicazione PCI:

Without actually establishing a working relationship with Amazon, Zinc has been able to simplify the ordering process down to just one call to the API.

Normalmente, un commerciante o un fornitore di servizi sarebbe tenuto a

12.8.4 Maintain a program to monitor service providers’ PCI DSS compliance status at least annually.

ma Zinc non funziona con i commercianti, o con i fornitori di servizi, si iniettano da intermediari tra il cliente e il commerciante senza la conoscenza o il consenso del commerciante . Non sono ritenuti responsabili per il PCI, quindi molto probabilmente potrebbero non eseguire i passaggi necessari per fornire una protezione obbligatoria per i dati delle carte dei clienti.

Dal momento che non elencano nulla sul PCI DSS, o sulla loro conformità con esso, sul loro sito web, potrebbero benissimo funzionare sotto il presupposto che non sono soggetti ad esso - o potrebbero scegliere di ignorarlo, sapendo che la solita leva utilizzata per imporla non può essere utilizzata su di essi (per essere ingannati, essere abbandonati dai commercianti, essere abbandonati da processori / acquirenti o essere multati nel contesto delle loro relazioni PCI). Oppure, chissà, potrebbero fare attentamente il loro questionario e ottenere le scansioni ASV trimestrali e non menzionarle ... hai chiesto loro?

Personalmente, sarei dispiaciuto di affidare loro i dati della mia carta. La loro configurazione TLS non mi convince di preoccuparsi profondamente assicurandolo - al momento della stesura, una B con RC4, SHA-1, un debole DH e un cert firmato da StartCom. Nulla di ciò che viola i requisiti PCI esistenti, ma non è indicativo di un'azienda che sta mettendo la giusta attenzione alla sicurezza.

    
risposta data 07.06.2015 - 06:54
fonte

Leggi altre domande sui tag