La RAM del server conta come storage per la conformità PCI?

1

Siamo un sito di e-commerce. Sto lavorando alla nostra conformità PCI al momento, e sto cercando, se possibile, di sostenere che la nostra organizzazione rientra in SAQ A anziché D. Non abbiamo dettagli sensibili sulle carte in un database, supporto fisico ecc. Ecc. Abbiamo superato numerose scansioni PCI.

Il nostro flusso di pagamento è il seguente:

  1. Aggiungi elementi al carrello.
  2. Inserisci i dettagli dell'indirizzo.
  3. Passa a una nuova pagina, ospitata sul nostro sito Web (che a sua volta è generato da un server dedicato, ospitato in un centro dati conforme PCI) in cui il cliente inserisce i dettagli della carta.
  4. Questi dettagli sono quindi inviati HTTPS al nostro server in cui vengono assegnati a una variabile e quindi cURL Pubblicati (con SSL) al nostro processore di pagamento di terze parti.

Spero che, poiché i dettagli delle carte siano conservati in RAM volatile piuttosto che in qualsiasi spazio di archiviazione permanente, potremmo ancora rientrare nel SAQ A. Se non lo facciamo, (e considerando solo i criteri sopra riportati) cadremmo sotto SAQ C o SAQ D? In precedenza mi è stato consigliato SAQ C, ma questo sembra essere riservato specificamente per le applicazioni di pagamento hardware, che non usiamo.

    
posta flukeflume 31.01.2014 - 17:47
fonte

2 risposte

7

Non è spazio di archiviazione, ma è la gestione, l'elaborazione e la trasmissione.

Per qualificarsi come SAQ A devi essere in grado di dichiarare,

"Your company does not store, process, or transmit any cardholder data
on your systems or premises, but relies entirely on a third party(s) 
to handle all these functions;"

Tuttavia stai trasmettendo i dati del titolare della carta, quindi non sei idoneo.

Per SAQ C, sembra che non si qualifichi a causa di:

Your company does not otherwise receive or transmit 
cardholder data electronically through any channels
(for example, via an internal network or the Internet);

C è inteso solo per le società che inseriscono le informazioni della carta sul loro sito dopo aver preso le informazioni tramite un mezzo non elettronico (come le informazioni sulla carta di credito inserite in un estratto conto postale).

Puoi verificare con uno specialista PCI-DSS che può esaminare la tua situazione in modo più dettagliato, ma sembra che tu ricada sotto la SAQ D.

Per evitare i requisiti PCI-DSS, non dovrai mai gestire o toccare i dati PCI in alcun modo. Dovresti fornire l'importo da fatturare a un fornitore terzo che gestirà l'inserimento di PCI e l'elaborazione dei pagamenti e ti restituirà un codice di ricevuta di pagamento non collegato a PCI.

    
risposta data 31.01.2014 - 17:59
fonte
0

Leggendo la tua descrizione sembra un tuo SAQ C. Inoltre, come alimento per se richiederei un Attestato di conformità dal tuo processore di pagamento. In pratica, ciò indica che sono conformi a PCI DSS. Anche solo per essere sicuro che PCI DSS 3.0 sia stato rilasciato e consiglio vivamente di seguire questa nuova versione a causa degli aggiornamenti. Il seguente sito Web fornisce alcune informazioni utili per aiutarti a determinare quale SAQ devi completare. Se espandi i collegamenti blu, vedi ulteriori dettagli:

link

Ma a questo punto ... mi sento sicuro che avrò bisogno di completare un SAQ C. La ragione è perché tu:

  • Accetta pagamenti su Internet tramite il tuo sito eCommerce
  • Non memorizzi alcun numero di carta, ma li elabori e li trasferisci al tuo processore di pagamenti.
  • Infine, devi semplicemente indirizzare i tuoi clienti a un pagamento di terze parti processore.

Questo soddisfa i criteri per un SAQ C durante la lettura delle descrizioni dal link precedente.

    
risposta data 02.02.2014 - 23:03
fonte

Leggi altre domande sui tag