Відповідність Magento CE PCI

22

Які кроки потрібно зробити для досягнення відповідності PCI для Magento CE?

Наприклад, використання платіжних платежів на веб-сайті Paypal або оплати мудреця в магазині допоможе досягти відповідності PCI?

payment-gateway 
чорнобривці
джерело
Ви повинні зашифрувати всі дані "PCIish" способом. Перевірка на відповідність PCI коштує afaik чималі гроші. Чому ти цього хочеш? Використовуйте EE :-)
Fabian Blechschmidt
Якщо ви хочете уникнути можливих труднощів, скористайтеся замість цього способом оплати. Як і сервер SagePay або стандарт PayPal.
Бен Лессані - Сонассі

Відповіді:

15

Немає причини, чому CE не може бути сумісним із PCI

Його завжди розглядали як сумісний із PCI - доки EE не з'явився, тоді EE потребував ще одного USP. Поки ви не зберігаєте дані CC - немає вимоги для шифрування інших даних (ім'я / адреса клієнта тощо).

Але майте на увазі, що відповідність PCI - це стільки ж вимога щодо додатків, скільки це набір правил та визначень для управління вашою компанією та обробки конфіденційної інформації.

SAQ

Який рівень відповідності вам належить, буде диктувати, що вам потрібно зробити, щоб забезпечити відповідність PCI. Якщо SAQ (опитувальник самооцінки) підходить для вашого розміру бізнесу, ви можете пройти без допомоги CE - при використанні зовнішнього способу оплати (наприклад, описаного).

В іншому випадку вище рівня SAQ - вам все одно знадобиться QSA - і ви говорите про великі гроші за допомогою професійної допомоги. Те, про що ви питаєте тут, ймовірно, означає, що ви не в цій межі.

Ви, швидше за все, потрапите під SAQ-D

Як ви приймаєте платіжні картки?

A. Продавці, які не мають картки (електронна комерція або пошта / замовлення по телефону), усі дані власників картки передані в аутсорсинг. Це ніколи не стосується торговців віч-на-віч.

B. Торговці, що мають лише відбитки, не мають зберігання даних електронних власників картки, або окремі продавці терміналів набору номерів без зберігання даних електронних власників карт.

C-VT. Торговці, які використовують лише віртуальні термінали на базі веб-сторінок, не мають зберігання даних електронних власників карт.

C. Торговці із системами платіжних заявок, підключених до Інтернету, не мають зберігання даних електронних власників карт.

D. Всі інші торговці, які не включені в описи для типів SAQ від A до C вище, а також усі постачальники послуг, визначені платіжною маркою як придатні для заповнення SAQ.

Дивіться https://www.pcisecuritystandards.org/smb/what_to_secure.html

Рівень продавця / транзакцій

  1. Торговці, які обробляють понад 6 мільйонів транзакцій Visa щорічно (усі канали) або глобальні торговці, визначені рівнем 1 будь-яким регіоном Visa 2
  2. Торговці, що обробляють 1 мільйон до 6 мільйонів транзакцій Visa щорічно (усі канали)
  3. Торговці, що обробляють 20 000 до 1 мільйона транзакцій електронної комерції Visa щорічно
  4. Торговці, що обробляють менше 20 000 трансакцій електронної комерції Visa щорічно, а всі інші продавці обробляють до 1 мільйона транзакцій Visa щорічно

Дивіться http://usa.visa.com/merchants/risk_management/cisp_merchants.html

Важливо - це диференціювати рівень торгівлі та рівень SAQ. Вони окремі. Ви можете бути SAQ-D як продавець рівня 2. Насправді, у більшості випадків ви можете самостійно оцінювати до рівня 2, коли на рівні SAQ-D - оскільки вимоги є більш розслабленими, оскільки ви взагалі не обробляєте дані карт.

Просто використання EE не робить вас сумісним із PCI; той же спосіб, що використовує хост PCI-сумісного ПК, не робить вас сумісним із PCI. Ваш бізнес в цілому (додаток, бізнес / персонал, хостинг) повинен відповідати сумісності PCI.

Бен Лессані - Сонассі
джерело
2

Рівень PCI, який вам потрібно виконати, залежить від того, скільки транзакцій ви, ймовірно, будете мати. В якості першого кроку слід визначити, який рівень буде застосований до вас:

  1. Будь-який продавець - незалежно від каналу прийняття - обробляє понад 6 мільйонів транзакцій Visa на рік. Будь-який продавець, який Visa на власний розсуд визначає, повинен відповідати торговим вимогам рівня 1, щоб мінімізувати ризик для системи Visa.
  2. Будь-який продавець - незалежно від каналу прийняття - обробляє 1–6 млн. Операцій Visa на рік.
  3. Будь-який купець, що обробляє 20000 до 1 млн операцій електронної комерції Visa на рік.
  4. Будь-який торговець, що обробляє менше 20 000 транзакцій електронної комерції Visa на рік, а всі інші торговці - незалежно від каналу прийняття - обробляють до 1 мільйона транзакцій Visa на рік.

http://usa.visa.com/merchants/risk_management/cisp_merchants.html це з VISA, але аналогічно це стосується і PCI

З кожним рівнем у вас будуть різні вимоги. Після того, як ви зробите оцінку, я впевнений, що хтось зможе дати вам більш детальну відповідь щодо того, які кроки потрібно зробити з CE.

Крістоф у Фомана
джерело
1

Enterprise Edition поставляється з додатком під назвою Платіжний міст який розглядає дійсно приємну кількість шифрування і може працювати на окремому сервері, ніж ваша програма. Це може бути надмірним вбивством для більшості контекстів і вимагає готовності виділити та налагодити код програми в організації OO, яку не так просто прослідкувати, як код Magento Core.

Відповідність PCI має багато невеликих нюансів, які насправді роблять CE не повністю сумісним із PCI. Найшвидший і найчастіше найкращий спосіб бути сумісним з PCI в системі CE - це використовувати сторонній шлюз для платежів за токенізацію. Є кілька розширень, які вже мають інтегровані CIM-файли Authorize.net або Протоколи оплати кібер-ресурсів та декілька інших. Це означає, що при правильному впровадженні все, що ви коли-небудь зберігаєте, - це профільID для клієнта, а дані кредитної картки зберігаються на шлюзі платежів.

Незважаючи на це, я не думаю, що у вашому запитанні чітко вказується інформація, яку ви хочете зберегти, про трансакцію, яку ви хочете покращити, щоб відповідати вимогам PCI. Без додаткової інформації важко допомогти вирішити архітектуру вашої конкретної вимоги з будь-якою специфікою.

mprototype
джерело
Re: sonassi Ваша відповідь неправильна, CE вважався сумісним з PCI до тих пір, поки в 2010 році не змінилися правила дотримання PCI і CE більше не відповідають вимогам.
mprototype
В ОП було досить зрозуміло, що вони не обробляють і не зберігають жодної інформації про власника картки, вони покладаються на зовнішні служби збору та обробки платежів. Будь-яка програма може бути сумісною з PCI, включаючи CE, без будь-якої важкої роботи, якщо ви фактично не зберігаєте дані власників карт. Але відповідність PCI - це не лише програмне забезпечення, яке ви використовуєте. Все про практику та впровадження компанії.
Бен Лессані - Сонассі
Приємно голосувати вниз ... Я також сказав, що СЕ може бути поступливим ... але це не поза межами, і так, бізнес-процес теж важливий, але я гадаю, ви не даєте кредиту за хорошу цінність у відповіді, навіть якщо мій Точка зору конфліктує з вашою і трапляється обговорювати рішення деяких проблем, якщо зусилля щодо дотримання PCI будуть докладені, а вашої відповіді не було. Також у вашій відповіді я не бачив згадки про платіжний міст, а також про те, що платіжний міст виконує відповідність вимогам PCI. І я виступаю за свою заяву ... твердження про те, що відповідність вимогам PCI в системі PCI було там і ніколи не змінювалося, є помилковим. вимоги змінилися
mprototype
1
ОП ніколи не виявляло інтересу до ЕЕ. Це питання стосується CE. CE не сертифікований ПА-DSS , але це не те саме, що сумісні з PCI. Рідно ви не можете зберігати дані CC PCI способом з CE - але ОП ніколи не збирався робити це.
Бен Лессані - Сонассі
0

Я думаю, це зазвичай два способи:

  1. Ви не хочете робити це самостійно, тому що ви невеликий магазин, тоді вам слід залишитися з СЕ і скористатися деяким постачальником платежів, щоб це зробити для вас

  2. Ви велика компанія і очікуєте багато угод і хочете зробити це самостійно. Тоді у вас повинно бути достатньо грошей, щоб використовувати EE.

СТАРИЙ ВІДПОВІДЬ:

Вам потрібно зашифрувати всі дані кредитної картки (завдяки @sonassi) "PCIish" способом та багато іншого. Перевірка на відповідність PCI коштує afaik чималі гроші. Чому ти цього хочеш? Використовуйте EE :-)

Всю необхідну інформацію можна знайти на веб-сайті PCI

І я не думаю, що тут є багато розробників, які знають стандарт, і я.

Відповідність PCI - це ні з чим грати. Якщо ви цього хочете, вам доведеться витратити багато грошей і вам потрібні експерти.

Фабіан Блешшмідт
джерело
Вам не потрібно шифрувати нічого, крім реквізитів власника картки .
Бен Лессані - Сонассі
Я не думаю, що рекомендація EE ніколи не є підставою для спроби виконати відповідність вимогам PCI - навіть якщо ОП економила деталі CC (яких вони не є).
Бен Лессані - Сонассі
0

Існують плагіни (наприклад, охоронна компанія Foregenix має такий журнал, який здійснює ведення журналів, моніторинг змін файлів та деякі інші речі), які допоможуть швидко та просто встановити деякі елементи управління PCI. Але якщо ви хочете скористатися найпростішим шляхом з точки зору відповідності, вам дійсно варто розглянути можливість використання розміщеної сторінки платежів із вашого шлюзу платежів. Це дозволить вам використовувати SAQ A-EP (до тих пір, поки ви не намагаєтеся зробити щось відмінне від звичайної розміщеної сторінки платежів).

ZWE
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.