с использованием платежного шлюза и соответствия требованиям PCI

Я рассматриваю возможность использования eWay в качестве платежного шлюза. Они предлагают два варианта. Один из них - позволить пользователям вводить данные кредитной карты на веб-сайте, размещенном на eWay, другой - использовать мою собственную форму и отправлять данные кредитной карты через мой сервер в бэкэнд eWays. Второй вариант (их страница с подробностями) кажутся мне более подходящими, так как пользователь никогда не покинет мой сайт, и бренд будет сохраняться. Я поговорил со службой поддержки, и они сказали, что мой сайт будет соответствовать стандарту PCI, если я использую SSL. Таким образом, я могу позволить пользователям указывать номера CC на моем сайте и отправлять их на серверную часть eWays через XML. Пока я не храню конфиденциальные данные, а только передаю, это нормально. До сих пор я думал, что пока данные CC попадают на мой сервер, мой сайт должен быть совместимым с PCI, но теперь я не уверен. Если бы кто-нибудь мог объяснить мне, как это на самом деле, я был бы очень признателен.


payment-gateway pci-dss
person spirytus    schedule 08.07.2010    source источник

Ответы (4)


arrow_upward
9
arrow_downward

Если ваша система обрабатывает данные карты, то она относится к PCI и должна быть совместима с PCI.

В: Кому применяется PCI?
A: PCI применяется ко ВСЕМ организациям или торговцам, независимо от размера или количества транзакций, которые принимает , передает или хранит данные держателей карт. Другими словами, если какой-либо клиент этой организации когда-либо платит продавцу напрямую с помощью кредитной или дебетовой карты, то применяются требования PCI DSS.

http://www.pcicomplianceguide.org/pcifaqs.php

Редактировать; «eWays» в качестве вашего поставщика шлюзов относятся к Уровню 1, и он обязан им гарантировать соответствие вашей PCI, так что с их стороны не так-то просто подсовывать вам подсказку SSL.

person Alex K.    schedule 08.07.2010
comment
Если мы храним только данные группы, такие как «номер счета» банка, «название учетной записи» и т. Д., В этом случае применяются требования PCI DSS или нет @Alex K. мой опубликованный вопрос ниже stackoverflow.com/questions/54665191/ - person Basit; 13.02.2019

arrow_upward
9
arrow_downward

Похоже, вы получили много противоречивых ответов. Я работаю в платежной компании и прошел аудит поставщика услуг уровня 1, и я ежедневно имею дело с продавцами и их требованиями PCI, поэтому я думаю, что могу помочь вам прояснить это.

Реальность такова, что вы должны соответствовать требованиям PCI, если принимаете кредитные карты, даже если вы передаете ВСЕ функции обработки данных о держателях карт на аутсорсинг. Хитрость в том, что стандарт, которому вы должны соответствовать, гораздо менее строг, чем стандарт, которому должен соответствовать платежный шлюз, но это не означает, что «PCI не применяется». Вам не обязательно иметь дело с действительно жесткими требованиями к сетевой безопасности, но есть аспекты PCI DSS, которым вы должны соответствовать, и вы должны ежегодно проводить аудит самооценки. `

Для получения подробной информации о том, с какой частью DSS вы должны иметь дело, перейдите на https://www.pcisecuritystandards.org/saq/instructions_dss.shtml и щелкните ссылку для типа проверки SAQ 1 (анкета A). Это подскажет вам, какие части стандарта PCI DSS вы должны реализовать как продавец, передав все функции держателя карт на аутсорсинг.

Надеюсь, это поможет вам прояснить ситуацию!

person MikeH    schedule 29.07.2010
comment
Спасибо, Майк :) Разве это не правда, что мне нужно пройти SAQ Validation Type 1 (Qeust. A) только в том случае, если я сохраню бумажные отчеты или квитанции с данными держателя карты? Если у меня этого нет и я не передаю / храню какие-либо из этих данных, мне не нужно беспокоиться о соответствии PCI в любой форме, верно? - person spirytus; 30.07.2010
comment
Вам все равно придется провести самооценку с помощью анкеты А, но первая ее часть будет для вас отмечена как «Н / Д». Части Политики информационной безопасности по-прежнему применяются. Даже если вам никогда не придется показывать самооценку кому-либо, я все равно рекомендую сделать это и убедиться, что требования политики безопасности IS соблюдены - так вам никогда не придется беспокоиться, если ваш процессор имеет брешь в безопасности, потому что вы удовлетворены ваши требования PCI-DSS и вы сможете избежать штрафов, которые могут быть наложены Visa. ИМХО, это лучше перестраховаться, чем сожалеть. - person MikeH; 31.07.2010
comment
Привет, Майк, мы работаем над проектом, мы принимаем платежи пользователей с помощью платежного шлюза Braintree с их Drop-in UI, мы не храним номера кредитных карт в нашей базе данных. Должны ли мы по-прежнему соответствовать требованиям PCI? и еще кое-что: если мы храним только банковские реквизиты, такие как «номер счета», «название счета» и т. д., в этом случае применяются требования PCI DSS или нет. stackoverflow .com / questions / 54665191 / - person Basit; 13.02.2019

arrow_upward
2
arrow_downward

Короче говоря, если вы принимаете платежи (даже если полностью передаете их на аутсорсинг), вы должны соответствовать требованиям PCI. Важнейшим фактором при определении того, сколько элементов управления безопасностью вам необходимо соблюдать, является тип используемого вами платежного шлюза.

Я помогал писать информационный документ для сообщества Drupal, но концепции применимы повсеместно. Я очень рекомендую это прочитать. А если у вас есть отзывы, сообщите о проблеме в очереди на github.

person rickmaneluis    schedule 09.01.2015

arrow_upward
1
arrow_downward

Недавно мы реализовали транзакции по кредитным картам для сайта электронной торговли с использованием другого поставщика платежных шлюзов. Вот что мы узнали о соответствии PCI DSS.

  1. Если вашим бизнес-требованиям является хранение информации о клиентах вместе с информацией об их кредитных картах, тогда ваш сервер и сеть вокруг него должны быть совместимы с PCI.
  2. Однако, если хранение информации о клиенте с данными кредитной карты не является критическим требованием, вы можете использовать ssl от поставщика платежного шлюза. Они должны предоставить средства для настройки формы, чтобы вы могли оформить ее так, чтобы она отражала вашу компанию.

Подробные требования PCI DSS можно найти по этой ссылке Стандарты безопасности данных PCI

person inlokesh    schedule 09.07.2010
comment
Вот что меня смущает ... до сих пор я был достаточно уверен, что даже если я не храню информацию CC, но только передача должна сделать мой сайт совместимым с PCI. Это совершенно противоположно тому, что вы говорите, так что же правда? :) - person spirytus; 15.07.2010
comment
Если данные кредитной карты никогда физически не попадают на ваш сервер (включая оперативную память из-за публикации формы), то PCI-DSS не применяется. Стандарты данных PCI охватывают вашу сетевую безопасность, исправления для операционных систем и так далее. Потому что они хотят гарантировать, что конфиденциальные данные карты защищены от любого неправомерного использования, во время передачи по сети (с использованием SSL) или хранения (с шифрованием). В вашем случае вам необходимо убедиться, что данные карты безопасно передаются на платежный шлюз после транзакции (SSL), используя форму ssl по умолчанию вашего платежного шлюза. - person inlokesh; 16.07.2010
comment
@inlokesh: PCI на определенном уровне применяется к любым процессинговым картам продавца. Это намного проще пройти, если вы можете сказать, что никакие карты не касаются нашей системы, это делается через платежный шлюз X. - person WW.; 17.06.2012