Ci sarebbe una violazione della conformità PCI in questo scenario?

Naviga le tue risposte
0

Prima di tutto - Non sto pianificando di seguire la strada del tentativo di aderire alla conformità PCI, semplicemente non ne vale la pena. Sono comunque interessato a come alcune aziende riescono a farlo.

Ecco lo scenario:

  • Impostazione di un marketplace standard con i venditori che vendono i propri articoli e i clienti che li acquistano.
  • Memorizzazione dei dati della carta cliente alla cassa
  • In seguito la visualizzazione di un cliente completa i dettagli della carta per i fornitori che possono quindi elaborare la transazione tramite i propri metodi
  • Tutto pur seguendo la conformità PCI per questa particolare configurazione

Scopriresti la conformità PCI in qualche modo e / o metterebbe i venditori in una situazione di rischio?

Inoltre, ci sono dei servizi di terze parti che si occuperebbero di memorizzare i dati delle carte per poi ottenere qualcosa come un gancio web? (stripe etc restituisce solo le ultime 4 cifre)

    
posta user3170211 06.12.2017 - 17:26
fonte

2 risposte

0

Ho finito col trovare la risposta a questo dopo qualche altra ricerca. Si scopre che ci sono servizi disponibili che memorizzano i dettagli della carta tramite tokenizzazione per te in quello che è solitamente chiamato un vault.

In tal modo riduci notevolmente l'ambito della conformità PCI sul tuo lato dell'applicazione.

Ecco alcuni di questi servizi per chiunque stia cercando: AuricVault: link Spretamente (non puoi de-toeknize ma puoi ancora memorizzare): link

    
risposta data 07.12.2017 - 02:55
fonte
0

Sì, dovrebbe essere possibile. So che un fornitore di servizi di livello uno fa fondamentalmente come descrivi. Penso che sia una cattiva idea per me, dal momento che si affidano ai clienti per essere consapevoli della sicurezza, e penso che aprirà il loro ambito PCI a SAQ D (che probabilmente non realizzano). Detto questo, è probabile che la responsabilità dei clienti sia conforme allo standard PCI e utilizzi i fornitori di servizi di conformità PCI. Quindi tecnicamente dovrebbe andare bene, ma sembra che tu stia giocando con il fuoco.

Prova Spreedly, ti permettono di usare gateway diversi e hanno anche una cassastrong, non sono sicuro di ottenere il PAN completo.

    
risposta data 07.12.2017 - 01:56
fonte

Leggi altre domande sui tag

Modellazione per analisi di sicurezza Che tipo di servizi di posta elettronica dovresti usare per account online come paypal, adsense, youtube ...?