Conformità PCI Magento CE

22

Quali sono i passi da compiere per raggiungere la conformità PCI per Magento CE?

Ad esempio, l'utilizzo di pagamenti su sito Web Paypal pro o salario direttamente in un negozio aiuterebbe a raggiungere la conformità PCI?

payment-gateway 
blakcaps
fonte
Devi crittografare tutti i dati in modo "PCIish". Per verificare la conformità PCI, i costi sono molti. Perché lo vuoi? Usa l'EE :-)
Fabian Blechschmidt,
Se si desidera evitare potenziali difficoltà, utilizzare invece un metodo di pagamento ospitato. Come il server SagePay o lo standard PayPal.
Ben Lessani - Sonassi,

Risposte:

15

Non vi è alcun motivo per cui CE non può essere conforme PCI

È stato sempre considerato conforme PCI - fino all'arrivo di EE, quindi EE aveva bisogno di un altro USP. Finché non si memorizzano i dettagli CC, non è necessario crittografare altri dati (nome / indirizzo cliente ecc.).

Tuttavia, tieni presente che la conformità PCI è tanto un requisito sul lato dell'applicazione quanto un insieme di regole e definizioni per la gestione della tua azienda e la gestione di informazioni sensibili.

SAQ

Il livello di conformità a cui ti atterrai determinerà ciò che devi fare per garantire la conformità PCI. Se SAQ (questionario di autovalutazione) è adatto alle dimensioni della tua attività, puoi passare senza aiuto con CE - quando usi un metodo di pagamento esterno (come quelli descritti).

Altrimenti, sopra i livelli SAQ - avrai comunque bisogno di un QSA - e stai parlando di soldi con assistenza professionale. Il fatto che stai chiedendo qui probabilmente stabilisce che non sei in questo limite.

Probabilmente cadrai sotto SAQ-D

Come si accettano le carte di pagamento?

A. Commercianti di carte non presenti (e-commerce o posta / telefono), esternalizzati tutti i dati dei titolari di carta. Ciò non si applicherebbe mai ai commercianti faccia a faccia.

B. Commercianti di sola stampa senza archiviazione elettronica dei dati dei titolari di carta o commercianti di terminali dial-out autonomi senza archiviazione elettronica dei dati dei titolari di carta.

C-VT. Commercianti che utilizzano solo terminali virtuali basati sul Web, nessuna memorizzazione elettronica dei dati dei titolari di carta.

C. Commercianti con sistemi di applicazione di pagamento connessi a Internet, nessuna memorizzazione elettronica dei dati dei titolari di carta.

D. Tutti gli altri commercianti non inclusi nelle descrizioni per i tipi di SAQ da A a C sopra e tutti i fornitori di servizi definiti da un marchio di pagamento come idonei a completare un SAQ.

Vedi https://www.pcisecuritystandards.org/smb/what_to_secure.html

Commerciante / Livello di transazione

  1. Commercianti che elaborano oltre 6 milioni di transazioni Visa ogni anno (tutti i canali) o commercianti globali identificati come livello 1 da qualsiasi regione Visa 2
  2. Commercianti che elaborano annualmente da 1 a 6 milioni di transazioni Visa (tutti i canali)
  3. Commercianti che elaborano da 20.000 a 1 milione di transazioni e-commerce Visa ogni anno
  4. I commercianti elaborano meno di 20.000 transazioni e-commerce Visa ogni anno e tutti gli altri commercianti elaborano fino a 1 milione di transazioni Visa ogni anno

Vedi http://usa.visa.com/merchants/risk_management/cisp_merchants.html

L'importante è differenziare il livello commerciale e il livello SAQ. Sono separati. Puoi essere SAQ-D come commerciante di livello 2. In effetti, nella maggior parte dei casi puoi autovalutare fino al livello 2 quando sei al livello SAQ-D, poiché i requisiti sono più rilassati perché non gestisci affatto i dati delle carte.

L'uso di EE non ti rende conforme a PCI, allo stesso modo l'utilizzo di un host conforme a PCI non ti rende conforme a PCI. La tua azienda nel suo complesso (applicazione, azienda / personale, hosting) deve essere conforme a PCI.

Ben Lessani - Sonassi
fonte
2

Il livello PCI che devi rispettare dipende dal numero di transazioni che probabilmente avrai. Come primo passo dovresti capire quale livello ti si applica:

  1. Qualsiasi commerciante, indipendentemente dal canale di accettazione, elabora oltre 6 milioni di transazioni Visa all'anno. Qualsiasi commerciante che Visa, a sua esclusiva discrezione, determina deve soddisfare i requisiti del commerciante di livello 1 per ridurre al minimo il rischio per il sistema Visa.
  2. Qualsiasi commerciante, indipendentemente dal canale di accettazione, elabora transazioni Visa da 1M a 6M all'anno.
  3. Qualsiasi commerciante che elabora transazioni di e-commerce Visa da 20.000 a 1 milione all'anno.
  4. Qualsiasi commerciante che elabora meno di 20.000 transazioni di e-commerce Visa all'anno e tutti gli altri commercianti, indipendentemente dal canale di accettazione, elaborano fino a 1 milione di transazioni Visa all'anno.

http://usa.visa.com/merchants/risk_management/cisp_merchants.html proviene da VISA ma si applicherebbe allo stesso modo a PCI

Con ogni livello avrai requisiti diversi da soddisfare. Una volta effettuata la valutazione, sono sicuro che qualcuno sarà in grado di darti una risposta più dettagliata su quali misure adottare con CE.

Kristof a Fooman
fonte
1

L'Enterprise Edition include un'applicazione chiamata Payment Bridge che si occupa di una buona quantità di crittografia e può essere eseguita su un server separato rispetto all'applicazione. Questo può essere eccessivo per la maggior parte dei contesti e richiede la volontà di isolare ed eseguire il debug del codice dell'applicazione in un'organizzazione OO che non è facile da seguire come il codice Magento Core.

La conformità PCI ha molte piccole sfumature che rendono CE non completamente conforme a PCI. Il modo più rapido e spesso migliore per essere conformi a PCI su CE è utilizzare un sistema di gateway di pagamento di tokenizzazione di terze parti. Ci sono alcune estensioni che hanno già integrato CIM di Authorize.net, o profili di pagamento di Cybersource, e alcune altre. Ciò significa che, se implementato correttamente, tutto ciò che memorizzi è l'ID profilo per il cliente e i dati della carta di credito vengono archiviati sul gateway di pagamento.

Detto questo, non credo che la tua domanda affermi chiaramente le informazioni che desideri memorizzare sulla transazione che stai cercando di migliorare per soddisfare la conformità PCI. Senza ulteriori informazioni, è difficile aiutare a risolvere l'architettura del requisito particolare con qualsiasi specificità.

mprototype
fonte
Ri: sonassi la tua risposta è errata CE è stata considerata conforme PCI fino a quando le regole di conformità PCI non cambiano nel 2010 e CE non soddisfa più i requisiti.
mprototype,
Il PO era abbastanza chiaro che non stavano elaborando o archiviando alcuna informazione del titolare della carta, ma si affidavano a servizi esterni per acquisire ed elaborare i pagamenti. Qualsiasi applicazione può essere conforme PCI, incluso CE, senza alcun duro lavoro purché non si stiano effettivamente memorizzando i dati dei titolari di carta. Ma la conformità PCI non è solo il software che stai utilizzando. Riguarda le pratiche e l'implementazione dell'azienda.
Ben Lessani - Sonassi,
Bel voto in basso ... Ho anche detto che CE può essere conforme ... ma non è pronto all'uso, e sì, anche il processo biz è importante, ma immagino che tu non dia credito per un buon valore in una risposta anche se il mio punto di vista è in conflitto con il tuo e capita di discutere delle soluzioni ad alcuni dei problemi nel caso in cui si dovessero compiere sforzi di conformità PCI e la tua risposta non lo fosse. Inoltre, non ho visto alcuna menzione di Payment Bridge né di ciò che Payment Bridge ottiene in termini di conformità PCI nella sua risposta. E io sostengo la mia affermazione ... l'affermazione che la conformità PCI CE era lì e non è mai cambiata è un errore. i requisiti sono cambiati
mprototype il
1
L'OP non ha mai mostrato interesse per EE. Questa domanda riguarda CE. CE non è certificato PA-DSS , ma non è lo stesso di PCI. Nativamente, non è possibile archiviare i dati CC in modo PCI con CE, ma l'OP non ha mai voluto farlo.
Ben Lessani - Sonassi,
0

Penso che normalmente siano due modi:

  1. Non vuoi farlo da solo, perché sei un piccolo negozio, quindi dovresti rimanere con la CE e utilizzare un fornitore di pagamenti per fare questo pensa per te

  2. Sei una grande azienda e ti aspetti molte transazioni e vuoi farlo da solo. Quindi dovresti avere abbastanza soldi per usare l'EE.

VECCHIA RISPOSTA:

Devi crittografare tutti i dati della carta di credito (grazie a @sonassi) in modo "PCIish" e molto altro. Per verificare la conformità PCI, i costi sono molti. Perché lo vuoi? Usa l'EE :-)

Tutte le informazioni necessarie sono disponibili sul sito Web PCI

E non credo che ci siano molti sviluppatori qui, che conoscono lo standard, nemmeno io.

La conformità PCI non è nulla con cui giocare. Se vuoi questo, devi spendere molti soldi e hai bisogno di esperti.

Fabian Blechschmidt
fonte
Non è necessario crittografare altro che i dettagli del titolare della carta .
Ben Lessani - Sonassi,
Non credo che una raccomandazione EE sia mai giustificata nel tentativo di soddisfare la conformità PCI, anche se l'OP stava salvando i dettagli CC (cosa che non lo è).
Ben Lessani - Sonassi,
0

Esistono plug-in (ad esempio, la società di sicurezza Foregenix ne ha uno che esegue la registrazione, il monitoraggio delle modifiche ai file e poche altre cose) che possono aiutare a implementare alcuni dei controlli PCI in modo rapido e semplice. Ma se stai cercando di prendere la strada più semplice dal punto di vista della conformità, dovresti davvero prendere in considerazione l'utilizzo di una pagina di pagamento ospitata dal tuo gateway di pagamento. Ciò ti consentirà di utilizzare SAQ A-EP (a condizione che tu non stia cercando di fare qualcosa di diverso dalla normale pagina di pagamento ospitata).

ZWE
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.