Conformità PCI, FDMS e TransArmor [chiuso]

4

Quindi, sono stato incaricato di lavorare su un progetto di integrazione in cui chiederemo ai clienti informazioni sulla carta di credito e li invieremo ai nostri partner di integrazione, che elaboreranno le informazioni di pagamento / cc ed elaboreranno il resto dell'ordine. Quindi, uno dei compiti per diventare conforme PCI. Tuttavia, il partner sta anche cercando di ottenere la conformità PCI, e ha affermato che come parte di tale processo, non possono accettare le informazioni cc su Internet da una fonte esterna. Ma poi ne stavo leggendo e ho scoperto che esiste un modo per diventare un TPA (Third Party Accepter) che può consentire il passaggio della carta di credito al partner.

Ho anche ascoltato la parola FDMS gettata in giro durante il primo incontro - alcune ricerche mi hanno portato a credere che questo sia l'acronimo di First Data Merchant Services. Quello che ho scoperto è che First Data è un commerciante, che in realtà contatta le banche emittenti per controllare le carte di credito e quindi riscuotere il pagamento. Il partner vuole raggiungere un livello di conformità PCI in cui non memorizzano carte di credito, quindi hanno detto che quando prendono le carte di credito lo invieranno a FDMS utilizzando qualcosa chiamato TransArmor, dove inviano le informazioni CC a FDMS e inviano un token - e questo è quello che usano per accedere alle informazioni CC.

Ho fatto le mie ricerche al riguardo e ci sono molte informazioni là fuori, e non riesco a trovare un punto chiaro e conciso in cui posso leggere tutto questo - quindi ho alcune domande su questo intero processo:

  1. C'è un posto in cui posso leggere che cosa ci vuole per diventare PCI compatibile?
  2. Ci sono diversi livelli di conformità PCI?
  3. Dove esattamente TPA si inserisce in tutto questo?
  4. C'è un esempio di come funziona TransArmor?
posta M.R. 22.10.2011 - 05:04
fonte

1 risposta

3

Stiamo seguendo un processo simile in questo momento cercando di soddisfare la conformità PCI. La nostra situazione è un po 'diversa anche se abbiamo già a che fare con un Merchant Processor (CyberSource) e ci stanno infliggendo qualcosa come $ 50 al mese per non rispettare gli standard di conformità PCI. Siamo molto vicini però.

Diventare conformi allo standard PCI è in realtà abbastanza semplice se si delegano i pagamenti a un processore commerciante come TransArmor. Gestiscono tutta la complessità della gestione dei servizi di carte, delle banche, della memorizzazione dei numeri delle carte di credito e dell'accredito sul conto bancario. Sono anche conformi allo standard PCI, ma i loro standard sono MOLTO più severi e MOLTO più coinvolti dei tuoi. A loro volta, per fare affari con loro, prenderanno un piccolo taglio di ogni transazione.

La cosa più importante che puoi fare è assicurarti che NON memorizzi i numeri delle carte di credito ovunque sul tuo sistema! Il tuo sito è esterno, quindi crittografia SSL e autenticazione account utente, hashing delle password e la registrazione delle attività dell'utente è un dato. Un utente invierà i dettagli della carta di credito attraverso il tuo sito e il tuo server sarà semplicemente un intermediario per il tuo processore di pagamento.

Sul lato server chiamerai un servizio web crittografato SSL ospitato da TransArmor che in realtà memorizzerà i dettagli CC per l'utente e restituiranno un token che puoi associare al pagamento degli utenti dalla tua parte. Questo token è a basso rischio ed è sostanzialmente inutile per un potenziale hacker che potrebbe aver compromesso il tuo sistema.

Successivamente devi assicurarti che i server Web abbiano un blocco firewall altamente restrittivo, anche da fonti interne alla tua rete. La porta 443 deve essere disponibile all'esterno per il traffico web ed è necessaria una porta aperta per la comunicazione con TransArmor, ma questo è tutto. La condivisione di file non dovrebbe essere consentita e RDP deve essere altamente limitato con utenti chiaramente definiti che hanno accesso remoto al server (questa è un'area sfocata per me e un'altra che stiamo ancora cercando di capire).

Altri fattori esterni possono renderti non conforme, (ad esempio, un data center fisicamente insicuro in cui il server è ospitato, qualsiasi cosa diversa dai punti di accesso wireless crittografati WPA OVUNQUE all'interno della tua rete interna, ecc ...)

La migliore risposta che posso darti è di iniziare i colloqui con TransArmor perché è nel loro interesse diretto assisterti nel diventare PCI compatibile e la maggior parte dei processori commerciali sono estremamente utili su questo fronte. La maggior parte ha strumenti sofisticati che è possibile eseguire all'interno della rete e sul server per aiutarti a identificare dove non sei conforme e cosa devi fare per diventare conforme. Cybersource ci ha assistito con una checklist che siamo stati in grado di esaminare e aiutare a identificare le attività che dovevamo eseguire per diventare conformi PCI.

Buona fortuna per il tuo progetto.

    
risposta data 22.10.2011 - 05:37
fonte

Leggi altre domande sui tag