PCI SAQ C 1.2.1, 1.3.5 e server / software remoto

0

Spero che qualcuno qui possa aiutarmi. Sto tentando di far funzionare la piccola organizzazione non profit con PCI conforme, poiché abbiamo pagato un supplemento di $ 20 / mese in commissioni di non conformità dal nostro processore da quando abbiamo iniziato a prendere carta di credito ANNI fa (a quanto pare io m l'unica persona a guardare le dichiarazioni).

Non sono una persona IT, faccio contabilità / fatturazione. Elaboriamo le carte di credito in due modi. Innanzitutto, il 95% dei nostri pagamenti con carta di credito sono inseriti nel nostro software che poi parla al processore. Accediamo a questo software tramite un server remoto situato fisicamente a Denver. In secondo luogo, il restante 5% dei nostri pagamenti con carta di credito viene immesso sulla tastiera del mio computer direttamente nel sito Web del processore (questo è per pagamenti ricorrenti, che dobbiamo immettere manualmente nel nostro software dopo che il pagamento è stato elaborato).

Quindi le mie domande sono:

  1. Ho ragione che, dato il modo in cui prendiamo i pagamenti, dovremmo completare PCI SAQ C?
  2. Devo coinvolgere sia le persone IT della contea con cui stipuliamo contratti per i servizi nei nostri uffici e le persone IT del software che si trovano a Denver, dato il modo in cui prendiamo i pagamenti? In tal caso, devo assicurarmi che la risposta ad ogni domanda corrisponda per entrambi?
  3. Soprattutto, quando le domande a cui si fa riferimento nel mio titolo parlano di limitazione del traffico in uscita (tutti gli ingressi sono limitati per il personale IT della contea, ho difficoltà a ottenere risposte dalle nostre persone IT del software a Denver), ciò significa che i computer che utilizziamo per elaborare le carte di credito devono essere completamente limitati alle solo carte di credito di processo? Questo sarebbe piuttosto un inconveniente, e non conosco molte piccole imprese (in particolare gli hotel in particolare mi vengono in mente) che limitano le loro funzioni informatiche in questo modo. Se sto fraintendendo i requisiti, qualcuno può spiegarli in modo più approfondito?
posta cmbrien 25.09.2015 - 20:50
fonte

1 risposta

1

Non posso ancora commentare, ma risponderò meglio che posso conoscere maggiori informazioni sulla tua configurazione riguardo alla Società di Denver.

  1. Dipende da cosa intendi per server remoto. Per il 95%, stai andando a un sito web e inserendo i dati della carta di credito, o stai usando lo strumento di accesso remoto (Desktop remoto, Logmein, Teamviewer, ecc.) Per connetterti a questa macchina a Denver?

Avranno bisogno di maggiori informazioni su questa domanda per dare una risposta migliore.

  1. I questionari PCI sono per commerciante. Altri siti entrano in gioco, se tutti i siti vengono elaborati utilizzando lo stesso commerciante #. Tuttavia, generalmente la maggior parte delle scansioni di conformità PCI sono per numero di commerciante, che di solito è per sito. Wal-Mart potrebbe avere migliaia di negozi, ma ogni negozio / sito è un commerciante diverso, e ogni negozio farebbe il proprio questionario. Vorresti parlare con entrambi i reparti IT delle domande che avrai durante il questionario. Firewall, scadenza password, aggiornamenti AV e così via.

Tuttavia, non conoscere tutte le informazioni sulla configurazione con Denver rende difficile fornire una risposta accurata.

  1. La domanda che posso aiutarti di più non può in realtà essere diversa a prescindere da come è il tuo setup tra County e Denver.

Qualsiasi computer che elabora una carta di credito su Internet, dovrebbe trovarsi su una rete chiusa. L'unica richiesta / invio via internet che il dispositivo deve effettuare è l'elaborazione delle carte di credito. Esclusioni per OS / Software / Antivirus / Aggiornamenti firmware / e alcuni altri. Fondamentalmente, nessuna navigazione e amp; nessuna email dovrebbe accadere su quei computer che elaborano una carta di credito. Anche se si ha accesso remoto al computer che elabora le carte di credito, tale accesso remoto deve essere disattivato solo quando necessario. Deve esserci 0 possibilità che un dipendente entri nel sito sbagliato, faccia clic sull'e-mail errata, su qualsiasi cosa possa consentire che qualcosa accada. Qualsiasi altro computer che si trova sulla stessa rete non dovrebbe navigare o inviare email.

L'analogia che fornisco ai clienti è:

Puoi avere una casa in cui hai costruito una recinzione circolare in mattoni che circonda la tua casa. Il mattone non può essere scalato, tuttavia in un punto del mattone c'è un piccolo foro dove puoi vedere attraverso di esso. Nella vista Conformità PCI. Hai fallito.

Per hotel / ristoranti può essere difficile, ma è quello che dovrebbe essere. Fai tutti gli hotel e amp; i ristoranti seguono questa procedura. No. Dovrebbero. Generalmente tutte le posizioni delle carte di credito gestite dalla mia azienda (oltre 100), hanno un computer da ufficio strettamente per l'utilizzo di Internet. I computer per l'esecuzione delle transazioni con carta di credito si trovano su una rete separata con un firewall in funzione e molte impostazioni di sicurezza consentono solo l'elaborazione CC e nient'altro. Ci sono diversi siti che gestisco, che non vogliono pagare per la sicurezza, o non gli importa. Quelle persone firmano una rinuncia, non ritenendo responsabile la mia azienda.

Spero che sia di aiuto, e scusa per non commentare prima. Se riesco a ottenere maggiori informazioni sulla configurazione con Denver, modifico la mia risposta.

    
risposta data 26.09.2015 - 05:59
fonte

Leggi altre domande sui tag