In questo modo si utilizza CIM PCI autorizzabile di Authorize.net?

Naviga le tue risposte
1

Abbiamo una webapp dove CIM di Authorize.NET e AIM sono utilizzati per le operazioni di pagamento. Quando l'utente acquista qualcosa alla prima volta, inserisce il suo numero CC e altre informazioni di fatturazione sul nostro sito. Questa informazione viene inserita e trasmessa dal browser al nostro server attraverso una connessione non SSL. Anche altre regole PCI-DSS (come le restrizioni della password) non sono soddisfatte dal sito. Quindi queste informazioni di fatturazione vengono trasmesse dal nostro server web ai server Authorize.NET. Il numero CC non è memorizzato da noi stessi ma memorizziamo (in modo non criptato) la data di scadenza CC, le ultime 4 cifre del numero CC, il nome e il cognome del titolare della carta. Quando l'utente acquista qualcosa alla seconda volta, dovrebbe semplicemente scegliere di utilizzare questa carta di credito esistente per acquistare qualcosa.

Anche l'ID di accesso API e la chiave di transazione sono memorizzati in modo non crittografato.

Il nostro sito è conforme al PCI? È un modo corretto di usare CIM?

Modifica: sarà sufficiente passare a SSL a livello di sito e non memorizzare la data di scadenza CC e le ultime 4 cifre del numero CC?

    
posta Andrei Botalov 06.09.2012 - 17:30
fonte

2 risposte

4

Se trasmetti i dati della carta di credito tramite una connessione non SSL ai tuoi server, non sei conforme allo standard PCI-DSS. È un requisito che tutte le informazioni di identificazione personale vengono trasmesse attraverso connessioni protette (crittografate).

Per quanto riguarda il resto - la memorizzazione di informazioni non criptate: data di scadenza, ecc. - la risposta dipende dalla classificazione della vostra azienda secondo le regole PCI-DSS; se una piccola azienda, ci sono requisiti meno rigorosi.

Raccomando di leggere attentamente la documentazione PCI-DSS prima di procedere con questo. Può essere trovato qui: link

Nota: una volta che pensi di essere conforme, dovresti fare eseguire un test di conformità da una società di revisione esterna (io uso SecurityMetrics ma non sono la compagnia più divertente da gestire). Di solito vengono effettuati trimestralmente per garantire la conformità costante.

    
risposta data 06.09.2012 - 17:46
fonte
3

Ci sono molti fattori che devono essere presi in considerazione per rispondere se il tuo sito è conforme o meno PCI e, a seconda del tipo di venditore che hai classificato, potresti dover assumere un Qualified Security Assessor (QSA) per verificare che tu sia effettivamente un reclamo PCI. Quando si dice che le informazioni CC vengono trasferite attraverso una "connessione non SSL", questa connessione viene crittografata e, in caso affermativo, utilizza solo algoritmi di crittografia considerati "forti". Se non è crittografato e le informazioni CC viaggiano attraverso una rete pubblica (ad esempio Internet), posso dirti che non è un reclamo PCI.

Il modo migliore per gestire questo tipo di situazioni (secondo me) è pagare un gateway di pagamento conforme allo standard PCI che offra un servizio di reindirizzamento. Cioè, quando il tuo cliente è pronto a pagare, verrà reindirizzato al sito del gateway di pagamento in cui verranno inserite le informazioni CC. Una volta effettuato il pagamento, il gateway di pagamento reindirizzerà l'utente al tuo sito web. Il gateway di pagamento ti fornirà un numero di transazione che potrai utilizzare in seguito per i rimborsi o come riferimento alla transazione.

Alcune di queste aziende offrono anche soluzioni per pagamenti ricorrenti e casi d'uso simili. Possono fornire un token che fa riferimento a un CC effettivo sul loro server.

La cosa buona è che le informazioni CC non toccano mai la tua infrastruttura e, pertanto, dovrai solo rispondere a un questionario di autovalutazione A (SAQ A). Questi inoltre esternalizzano tutto il sovraccarico PCI a terzi. Il lato negativo di questo è che devi pagare la terza parte per gestire tutte le tue transazioni, ma molto probabilmente l'importo che le pagherai sarà inferiore alle multe che dovrai affrontare in caso di violazione della tua infrastruttura.

    
risposta data 06.09.2012 - 18:16
fonte

Leggi altre domande sui tag

Qualsiasi destinatario può modificare una mail di conferma dell'ordine, giusto? Questo importa mai? Cerco consigli su come costruire una scatola per gli hash brute force? [chiuso]