Il negozio di carte di credito prima quattro e le ultime quattro quali SAQ PCI?

Question

Il negozio di carte di credito prima quattro e le ultime quattro quali SAQ PCI?

#1 da (1 voti)

1

Nella nostra applicazione, trasferiamo solo i dati dei titolari di carta a un fornitore di servizi conforme PCI DSS e non li memorizziamo da soli. Memorizziamo solo le prime quattro e le ultime quattro cifre del numero di carta di credito per riferimento futuro:

1234 **** **** 1234

Abbiamo molte più di 300.000 transazioni all'anno, quindi il nostro SP ci ha richiesto di compilare un modulo SAQ, ma anche loro non sono sicuri di quale compilare. Siamo tra SAQ D (che sembra decisamente eccessivo) e SAQ A-EP . Qualche idea?

Aggiornamento:

Raccogliamo le informazioni sul nostro sito web. Otteniamo le informazioni su un modulo, che pubblichiamo sul nostro back-end. Quindi, il back-end trasmette le informazioni del titolare della carta all'SP compatibile PCI e memorizza solo la maschera sopra nel db.

credit-card pci-dss pci-scope

posta Hasan Can Saral 11.07.2017 - 10:05

fonte

1 risposta

Leggi altre domande sui tag credit-card pci-dss pci-scope

Scambio di chiavi durante la fase IKE_AUTH di IKEv2 Differenza tra IDS basati sulla conoscenza e ID basati sul comportamento

score 1 · Accepted Answer

Sfortunatamente per te, perché i dati della carta attraversano il tuo server (indipendentemente da ciò che stai memorizzando), sei soggetto al completo SAQ D. Questo documento offre una buona panoramica dei vari livelli e delle loro esigenze.

Sia SAQ A che SAQ A-EP richiedono:

Your company does not electronically store, process, or transmit any cardholder data on your systems or premises, but relies entirely on a third party(s) to handle all these functions

Registrare i dati della carta sul tuo server di backend che poi li invia al fornitore di servizi significa che fai "process [e] trasmetti i dati dei titolari di carta sui tuoi sistemi". Se il tuo server viene compromesso in qualsiasi modo (ad esempio Heartbleed ), l'utente malintenzionato potrebbe quindi accedere a tali dati. Quindi il più alto livello di SAQ e tutte le precauzioni extra che lo accompagnano.

Idealmente, potresti riscrivere il tuo sistema per postare direttamente dalla pagina web al fornitore di servizi, senza che nulla ritorni al tuo server. Dovrebbero essere in grado di fornirti un numero di carta mascherato nella loro risposta, da memorizzare, ma puoi anche semplicemente postare i dati mascherati sul tuo server insieme alla loro risposta. Devi solo assicurarti che i dati completi non ritorni, se vuoi qualificarti per A-EP.