PCI SAQ A o A-EP è applicabile al mio caso d'uso?

Naviga le tue risposte
0

Ho letto le FAQ qui e ritengo che non sia necessario essere conformi alla PCI ma Ho letto molti altri post, articoli ecc. Che sembrano contraddire la mia ipotesi. Quindi mi stavo chiedendo se qualcuno di voi due può far luce su di esso. Ecco il mio caso d'uso,

Siamo una piattaforma basata su abbonamento, quindi basiamo fondamentalmente gli utenti su base ricorrente una volta registrati.

Attualmente utilizziamo Stripe, PayPal e amp; Amazon Payments come i nostri Payment Processors. Durante l'utilizzo di questi servizi, non memorizziamo, elaboriamo o trasmettiamo i dati dei titolari di carta attraverso i nostri server.

  • Per PayPal c'è un reindirizzamento completo alle loro pagine per il login & approvazione.
  • Per Amazon Payments viene utilizzato un widget JavaScript per accedere all'account Amazon (fornito da Amazon stesso) e concederci l'approvazione.
  • Per Stripe , utilizziamo il loro widget Checkout per eseguire l'elaborazione CC completa. Abbiamo appena ricevuto il token alla fine di esso.

È un po 'confusionario cercare di capire se necessario il livello richiesto di conformità PCI. Se dovessimo essere richiesto per la conformità PCI, vi è ulteriore confusione sul fatto che SAQ A o SAQ A-EP sia applicabile a noi.

Aggiorna

  • Sembra che almeno usando Stripe siamo bravi con solo SAQ A per il loro supporto clienti.
posta Chantz 11.05.2015 - 21:22
fonte

1 risposta

2

Versione breve:

Sembra che tu sia A-EP Sembra che tu sia A , basato sui prodotti specifici a cui si fa riferimento, ma dovresti chiedere al tuo processore (s) per essere sicuro.

Se per "widget JavaScript di Amazon Payments" intendi Pagamento Amazon Express , allora sei SAQ A -EP, perché "gli elementi della pagina di pagamento provengono dal sito web del commerciante".

Amazon Payments "Login and Pay" è un pulsante che prende il sito del processore e l'intero pagamento viene eseguito sul sito del processore, quindi tecnicamente non ci sono "elementi della pagina di pagamento (che) provengono dal commerciante sito web "- la pagina di pagamento è tutta su Amazon, nessuna sul tuo sito. Quindi dovrebbe essere anche SAQ A, anche se sarebbe davvero bello se Amazon lo inserisse nel loro FAQ .

Attenzione, la distinzione tra un collegamento che invia i clienti al sito dei processori e un link che cita un iframe sul sito dei processori e un link che utilizza le richieste dirette o javascript per inviare i dati della carta al sito del processore sono, in termini di sicurezza, completamente equivalenti . In tutti i casi, un utente malintenzionato che compromette il server Web del commerciante può influire sulla posizione in cui il cliente invia i dati della carta. L'unica differenza significativa è che il cliente può vedere l'URL del processore nella sua barra degli indirizzi con qualcosa come "Login and Pay", e assumiamo che le persone controllino e sappiano di non eseguire pagamenti Amazon con aamazon.ru, anche se ha un valido certificato.

Oppure - in breve - se questo ti confonde, è perché è confuso. Di nuovo, meglio chiedere al tuo processore. Dovrebbero sapere meglio.

Se per "widget Stripe Checkout" intendi Checkout , allora sei SAQ A-EP, perché " gli elementi della pagina di pagamento provengono dal sito web del commerciante. "

Secondo Stripe , anche se Checkout è un widget JavaScript " già riposa in un iframe controllato da Stripe , puoi continuare a compilare SAQ A. " (sottolineatura mia)

Tu solo sembra essere SAQ A perché tutti i tuoi moduli di check-out sono stati ospitati dai processori e i tuoi clienti sono stati indirizzati a loro prima del checkout o tramite un iframe .

Versione lunga:

La distinzione principale qui si trova nella pagina iii del SAQ A :

The entirety of all payment pages delivered to the consumer’s browser originates directly from a third-party PCI DSS validated service provider(s)

Se tutti i processori vengono richiamati tramite un iframe, probabilmente soddisfi questo requisito. Ma se i loro "widget javascript" o "checkout widget" sono serviti dai tuoi server, allora invece ti troverai in SAQ A-EP. I tuoi processori, ovviamente, dovrebbero essere in grado di dire quali sono.

Il fatto che la parola "widget Javascript" mostri qui mi suggerisce che sei un A-EP, ma non conosco abbastanza bene le offerte di Amazon o Stripe per sapere davvero. E, onestamente, non ci si aspetta che tu sappia la differenza - lo sono.

Il set completo di aspettative per un SAQ Un commerciante da incontrare sono i seguenti:

SAQ A merchants may be either e-commerce or mail/telephone-order merchants (card-not-present), and do not store, process, or transmit any cardholder data in electronic format on their systems or premises.

SAQ A merchants confirm that, for this payment channel:

  • Your company accepts only card-not-present (e-commerce or mail/telephone-order) transactions;
  • All payment acceptance and processing are entirely outsourced to PCI DSS validated third-party service providers;
  • Your company has no direct control of the manner in which cardholder data is captured, processed, transmitted, or stored;
  • Your company does not electronically store, process, or transmit any cardholder data on your systems or premises, but relies entirely on a third party(s) to handle all these functions;
  • Your company has confirmed that all third party(s) handling acceptance, storage, processing, and/or transmission of cardholder data are PCI DSS compliant; and
  • Your company retains only paper reports or receipts with cardholder data, and these documents are not received electronically.

Additionally, for e-commerce channels:

  • The entirety of all payment pages delivered to the consumer’s browser originates directly from a third-party PCI DSS validated service provider(s).
    
risposta data 11.05.2015 - 23:13
fonte

Leggi altre domande sui tag

La crittografia AES di un numero limitato di blocchi sarebbe meno sicura rispetto alla crittografia di un buffer imbottito di dimensioni fisse di grandi dimensioni? Si sta iniettando un secondo Authenticity_Token su una richiesta di accesso considerata una minaccia alla sicurezza?