Ho un modulo web sul quale il mio cliente inserisce i dati della sua carta di credito insieme ad altre informazioni. Quindi invio questi dati al mio server di back-end. Salvare le informazioni non sensibili nel mio database. NON memorizzo i dettagli cc ma li passo su https su un terzo lato.
espongo i miei clienti a qualsiasi rischio? Dovrei preoccuparmi per il PCI? Quale sarebbe la migliore pratica per passare tali dettagli a un terzo lato?
Poiché gestisci i dati dei titolari di carta, sei nel campo di applicazione del PCI e dovresti essere conforme.
A seconda del volume dei dati dei titolari di carta che stai trattando, potresti essere in grado di auto-valutare piuttosto che richiedere una valutazione sul posto da parte di un QSA.
Dovresti assicurarti di ricevere i dati della carta tramite un'implementazione HTTPS sicura, ad esempio utilizzando TLS v1.1 o TLS v1.2. Puoi testarlo su ssllabs.com
Assicurati che la terza parte con cui sei impegnato e che gestisce i dati dei titolari di carta dei tuoi clienti sia conforme PCI.
In termini di altri rischi, è necessario garantire che l'interfaccia web / modulo presentato al cliente sia stato sviluppato utilizzando processi di sviluppo del ciclo di vita del software sicuro. Inoltre, rivedere lo standard PCI DSS in quanto vi sono molti requisiti da implementare e processi di sicurezza da rispettare.
@AndyMac è corretto in tutti i dettagli, ma per essere chiari, secondo PCI DSS :
PCI DSS also applies to all other entities that store, process or transmit cardholder data (CHD) and/or sensitive authentication data (SAD).
Quando dici "NON memorizzo i dettagli cc ma li passa su un https a un terzo lato" stai descrivendo l'atto di trasmissione di CHD, e questo ti mette in ambito PCI.
In effetti, se si accettano carte di credito per il pagamento, si è soggetti a PCI. La minor quantità possibile di obiettivi è quella di qualificarsi per SAQ A-EP, che richiede una soluzione come iframe che garantirà che i dati della carta vadano direttamente al processore e non a te. Ma anche in questo caso, hai ancora circa 12 domande di SAQ A-EP da soddisfare.