Jakie kroki należy podjąć, aby osiągnąć zgodność z PCI dla Magento CE?
Na przykład korzystanie z płatności internetowych Paypal lub szałwii bezpośrednio w sklepie pomogłoby osiągnąć zgodność z PCI?
payment-gateway
blakcaps
źródło
źródło
Odpowiedzi:
Nie ma powodu, dla którego CE nie może być zgodny z PCI
Zawsze był uważany za zgodny z PCI - do czasu pojawienia się EE, wtedy EE potrzebowało kolejnego USP. Tak długo, jak nie przechowujesz danych CC - nie ma wymogu szyfrowania innych danych (nazwa / adres klienta itp.).
Należy jednak pamiętać, że zgodność z wymogami PCI jest tak samo wymogiem po stronie aplikacji, jak zbiorem reguł i definicji dotyczących prowadzenia firmy i obsługi poufnych informacji.
SAQ
Jaki poziom zgodności popełnisz, narzuci, co musisz zrobić, aby zapewnić zgodność z PCI. Jeśli kwestionariusz SAQ (kwestionariusz samooceny) jest odpowiedni dla wielkości Twojej firmy, możesz przejść bez pomocy CE - jeśli używasz zewnętrznej metody płatności (takiej jak te opisane).
W przeciwnym razie, powyżej poziomów SAQ - i tak potrzebujesz QSA - i mówisz duże pieniądze z profesjonalną pomocą. Fakt, że tu pytasz, prawdopodobnie oznacza, że nie jesteś w tej granicy.
Prawdopodobnie podlegałbyś SAQ-D
Zobacz https://www.pcisecuritystandards.org/smb/what_to_secure.html
Poziom sprzedawcy / transakcji
Zobacz http://usa.visa.com/merchants/risk_management/cisp_merchants.html
Ważne jest, aby różnicować poziom akceptanta i poziom SAQ. Są osobni. Możesz być SAQ-D jako kupiec poziomu 2. W rzeczywistości w większości przypadków można dokonać samooceny do poziomu 2 na poziomie SAQ-D - ponieważ wymagania są bardziej rozluźnione, ponieważ w ogóle nie obsługuje się danych karty.
Samo używanie EE nie powoduje, że jesteś zgodny ze standardem PCI, tak samo korzystanie z hosta zgodnego ze standardem PCI nie czyni go zgodnym ze standardem PCI. Twoja firma jako całość (aplikacja, firma / personel, hosting) musi być zgodna z PCI.
źródło
Poziom PCI, którego należy przestrzegać, zależy od liczby transakcji, które prawdopodobnie będziesz mieć. Pierwszym krokiem powinno być ustalenie, który poziom Cię dotyczy:
http://usa.visa.com/merchants/risk_management/cisp_merchants.html pochodzi z VISA, ale podobnie miałoby zastosowanie do PCI
Z każdym poziomem będziesz mieć inne wymagania do spełnienia. Po dokonaniu oceny jestem pewien, że ktoś będzie w stanie udzielić bardziej szczegółowej odpowiedzi na temat kroków, jakie należy podjąć w przypadku CE.
źródło
Wersja Enterprise zawiera aplikację o nazwie Payment Bridge, która zajmuje się naprawdę niezłą ilością szyfrowania i można ją uruchomić na innym serwerze niż aplikacja. Może to być nadmierne zabijanie w większości kontekstów i wymaga chęci wyodrębnienia i debugowania kodu aplikacji w organizacji OO, która nie jest tak łatwa do naśladowania jak kod Magento Core.
Zgodność z PCI ma wiele drobnych niuansów, które w rzeczywistości powodują, że CE nie jest w pełni zgodny z PCI. Najszybszym i często najlepszym sposobem na zgodność ze standardem PCI w CE jest użycie zewnętrznego systemu bramek do tokenizacji. Istnieje kilka rozszerzeń, które już mają zintegrowane CIM z Authorize.net lub Cybersource Payment Profiles, i kilka innych. Oznacza to, że po prawidłowym wdrożeniu wszystko, co przechowujesz, to identyfikator profilu klienta, a dane karty kredytowej są przechowywane w bramce płatności.
Biorąc to pod uwagę, nie sądzę, aby twoje pytanie wyraźnie zawierało informacje, które chcesz przechowywać na temat transakcji, którą chcesz ulepszyć w celu spełnienia zgodności z PCI. Bez dodatkowych informacji trudno jest rozwiązać konkretną architekturę wymagań.
źródło
Myślę, że zwykle są dwa sposoby:
Nie chcesz tego robić sam, ponieważ jesteś małym sklepem, powinieneś pozostać w CE i skorzystać z usług dostawcy płatności, aby zrobić to za Ciebie
Jesteś dużą firmą, oczekujesz wielu transakcji i chcesz to zrobić sam. Powinieneś mieć wystarczająco dużo pieniędzy, aby korzystać z EE.
STARA ODPOWIEDŹ:
Musisz zaszyfrować wszystkie dane karty kredytowej (dzięki @sonassi) w sposób „PCIish” i wiele więcej. Aby sprawdzić zgodność ze standardem PCI, trzeba dużo pieniędzy. Dlaczego tego chcesz Użyj EE :-)
Wszystkie potrzebne informacje można znaleźć na stronie internetowej PCI
I nie sądzę, że jest tu wielu programistów, którzy znają standard, ja też.
Zgodność z PCI nie ma z czym się bawić. Jeśli tego chcesz, musisz wydać dużo pieniędzy i potrzebujesz ekspertów.
źródło
Istnieją wtyczki (np. Firma bezpieczeństwa Foregenix ma taką, która rejestruje, monitoruje zmiany plików i kilka innych rzeczy), które mogą pomóc w szybkim i prostym wdrożeniu niektórych kontrolek PCI. Ale jeśli chcesz wybrać najłatwiejszą drogę z punktu widzenia zgodności, powinieneś naprawdę rozważyć użycie hostowanej strony płatności z bramki płatności. Umożliwi to korzystanie z SAQ A-EP (o ile nie próbujesz zrobić czegoś innego niż zwykła hostowana strona płatności).
źródło