Dichiarazione di non responsabilità: I Am Not A QSA; Io non sono un avvocato
My question is, if I wanted to offer similar service (i.e. make
purchases on behalf of consumers with their cc info), must I (/are
they?) be PCI compliant? Or, is it simply enough to (1) use SSL on my
site and (2) never write CC info to my DB?
Sì, avresti bisogno di essere conforme allo standard PCI. Saresti in grado di trasmettere ed eventualmente elaborare dati di titolari di carta per conto di commercianti. L'archiviazione dei dati dei titolari di carta è solo una delle tre cose sufficienti per metterti in campo.
Potresti riuscire comunque a farlo senza la conformità PCI. Potresti essere al di fuori dei normali metodi di applicazione PCI. A Visa potrebbe non interessare abbastanza di mandare avvocati. Detto questo, non consiglierei di testare quelle possibilità a tutti .
Mi dilungherò su questo affrontando il resto della tua domanda.
Zinc.io sembra soddisfare la definizione PCI di un fornitore di servizi :
Service Provider: Business entity that is not a payment brand,
directly involved in the processing, storage, or transmission of
cardholder data on behalf of another entity.
Per lo meno stanno trasmettendo i dati dei titolari di carta - li ricevono e poi li inviano al commerciante. Potrebbero o non potrebbero processarlo.
Non vengono visualizzati nel registro globale dei fornitori di servizi Visa . Ciò potrebbe significare semplicemente che sono Fornitore di servizi di livello 2 , perché "entità che desidera essere nel Registro globale dei fornitori di servizi deve convalidare come fornitore di livello 1. "
(IANAQSA, ma le uniche volte in cui ho sentito un QSA menzionare i SP di livello 2 è stato per eliminarli).
Suppongo che PCI consideri il titolare della carta una "entità" ai fini di tale definizione. In caso contrario, potrebbe essere una scappatoia interessante. Poiché la cosa veramente interessante è che non è chiaro che Zinc sia nella catena di applicazione PCI:
Without actually establishing a working relationship with Amazon, Zinc
has been able to simplify the ordering process down to just one call
to the API.
Normalmente, un commerciante o un fornitore di servizi sarebbe tenuto a
12.8.4 Maintain a program to monitor service providers’ PCI DSS compliance status at least annually.
ma Zinc non funziona con i commercianti, o con i fornitori di servizi, si iniettano da intermediari tra il cliente e il commerciante senza la conoscenza o il consenso del commerciante . Non sono ritenuti responsabili per il PCI, quindi molto probabilmente potrebbero non eseguire i passaggi necessari per fornire una protezione obbligatoria per i dati delle carte dei clienti.
Dal momento che non elencano nulla sul PCI DSS, o sulla loro conformità con esso, sul loro sito web, potrebbero benissimo funzionare sotto il presupposto che non sono soggetti ad esso - o potrebbero scegliere di ignorarlo, sapendo che la solita leva utilizzata per imporla non può essere utilizzata su di essi (per essere ingannati, essere abbandonati dai commercianti, essere abbandonati da processori / acquirenti o essere multati nel contesto delle loro relazioni PCI). Oppure, chissà, potrebbero fare attentamente il loro questionario e ottenere le scansioni ASV trimestrali e non menzionarle ... hai chiesto loro?
Personalmente, sarei dispiaciuto di affidare loro i dati della mia carta. La loro configurazione TLS non mi convince di preoccuparsi profondamente assicurandolo - al momento della stesura, una B con RC4, SHA-1, un debole DH e un cert firmato da StartCom. Nulla di ciò che viola i requisiti PCI esistenti, ma non è indicativo di un'azienda che sta mettendo la giusta attenzione alla sicurezza.