Zgodność z Magento CE PCI

22

Jakie kroki należy podjąć, aby osiągnąć zgodność z PCI dla Magento CE?

Na przykład korzystanie z płatności internetowych Paypal lub szałwii bezpośrednio w sklepie pomogłoby osiągnąć zgodność z PCI?

blakcaps
źródło
Musisz zaszyfrować wszystkie dane w sposób „PCIish”. Aby sprawdzić zgodność ze standardem PCI, trzeba dużo pieniędzy. Dlaczego tego chcesz Skorzystaj z EE :-)
Fabian Blechschmidt
Jeśli chcesz uniknąć potencjalnych trudności, użyj zamiast tego hostowanej metody płatności. Podobnie jak serwer SagePay lub standard PayPal.
Ben Lessani - Sonassi

Odpowiedzi:

15

Nie ma powodu, dla którego CE nie może być zgodny z PCI

Zawsze był uważany za zgodny z PCI - do czasu pojawienia się EE, wtedy EE potrzebowało kolejnego USP. Tak długo, jak nie przechowujesz danych CC - nie ma wymogu szyfrowania innych danych (nazwa / adres klienta itp.).

Należy jednak pamiętać, że zgodność z wymogami PCI jest tak samo wymogiem po stronie aplikacji, jak zbiorem reguł i definicji dotyczących prowadzenia firmy i obsługi poufnych informacji.

SAQ

Jaki poziom zgodności popełnisz, narzuci, co musisz zrobić, aby zapewnić zgodność z PCI. Jeśli kwestionariusz SAQ (kwestionariusz samooceny) jest odpowiedni dla wielkości Twojej firmy, możesz przejść bez pomocy CE - jeśli używasz zewnętrznej metody płatności (takiej jak te opisane).

W przeciwnym razie, powyżej poziomów SAQ - i tak potrzebujesz QSA - i mówisz duże pieniądze z profesjonalną pomocą. Fakt, że tu pytasz, prawdopodobnie oznacza, że ​​nie jesteś w tej granicy.

Prawdopodobnie podlegałbyś SAQ-D

Jak akceptujecie karty płatnicze?

A. Sprzedawcy nieobecni na kartach (e-commerce lub zamówienia pocztowe / telefoniczne), wszystkie funkcje danych posiadacza karty zlecone na zewnątrz. Nie dotyczyłoby to nigdy osobiście kupców.

B. Sprzedawcy tylko z nadrukiem bez elektronicznego przechowywania danych posiadacza karty lub samodzielni, zewnętrzni sprzedawcy z wybieraniem numerów bez elektronicznego przechowywania danych posiadacza karty.

C-VT. Sprzedawcy używający wyłącznie wirtualnych terminali internetowych, bez przechowywania danych posiadaczy kart elektronicznych.

C. Kupcy z systemami aplikacji płatniczych podłączonymi do Internetu, bez elektronicznego przechowywania danych posiadaczy kart.

D. Wszyscy pozostali handlowcy nie ujęci w opisach dla SAQ typów od A do C powyżej oraz wszyscy usługodawcy zdefiniowani przez markę płatniczą jako uprawnieni do wypełnienia SAQ.

Zobacz https://www.pcisecuritystandards.org/smb/what_to_secure.html

Poziom sprzedawcy / transakcji

  1. Sprzedawcy przetwarzający ponad 6 milionów transakcji Visa rocznie (wszystkie kanały) lub globalni sprzedawcy zidentyfikowani jako Poziom 1 przez dowolny region Visa 2
  2. Sprzedawcy przetwarzający od 1 miliona do 6 milionów transakcji Visa rocznie (wszystkie kanały)
  3. Sprzedawcy przetwarzający od 20 000 do 1 miliona transakcji e-commerce Visa rocznie
  4. Sprzedawcy przetwarzający mniej niż 20 000 transakcji e-commerce Visa rocznie oraz wszyscy inni handlowcy przetwarzający do 1 miliona transakcji Visa rocznie

Zobacz http://usa.visa.com/merchants/risk_management/cisp_merchants.html


Ważne jest, aby różnicować poziom akceptanta i poziom SAQ. Są osobni. Możesz być SAQ-D jako kupiec poziomu 2. W rzeczywistości w większości przypadków można dokonać samooceny do poziomu 2 na poziomie SAQ-D - ponieważ wymagania są bardziej rozluźnione, ponieważ w ogóle nie obsługuje się danych karty.


Samo używanie EE nie powoduje, że jesteś zgodny ze standardem PCI, tak samo korzystanie z hosta zgodnego ze standardem PCI nie czyni go zgodnym ze standardem PCI. Twoja firma jako całość (aplikacja, firma / personel, hosting) musi być zgodna z PCI.

Ben Lessani - Sonassi
źródło
2

Poziom PCI, którego należy przestrzegać, zależy od liczby transakcji, które prawdopodobnie będziesz mieć. Pierwszym krokiem powinno być ustalenie, który poziom Cię dotyczy:

  1. Każdy sprzedawca - niezależnie od kanału akceptacji - przetwarza ponad 6 transakcji Visa rocznie. Każdy akceptant, który Visa, według własnego uznania, określi, powinien spełniać wymagania akceptanta poziomu 1, aby zminimalizować ryzyko dla systemu Visa.
  2. Każdy sprzedawca - niezależnie od kanału akceptacji - przetwarza transakcje Visa od 1 do 6 milionów rocznie.
  3. Każdy handlowiec przetwarzający rocznie transakcje e-commerce od 20 000 do 1M Visa.
  4. Każdy handlowiec przetwarzający mniej niż 20 000 transakcji e-commerce Visa rocznie, a wszyscy inni handlowcy - niezależnie od kanału akceptacji - przetwarzają do 1M transakcji Visa rocznie.

http://usa.visa.com/merchants/risk_management/cisp_merchants.html pochodzi z VISA, ale podobnie miałoby zastosowanie do PCI

Z każdym poziomem będziesz mieć inne wymagania do spełnienia. Po dokonaniu oceny jestem pewien, że ktoś będzie w stanie udzielić bardziej szczegółowej odpowiedzi na temat kroków, jakie należy podjąć w przypadku CE.

Kristof w Fooman
źródło
1

Wersja Enterprise zawiera aplikację o nazwie Payment Bridge, która zajmuje się naprawdę niezłą ilością szyfrowania i można ją uruchomić na innym serwerze niż aplikacja. Może to być nadmierne zabijanie w większości kontekstów i wymaga chęci wyodrębnienia i debugowania kodu aplikacji w organizacji OO, która nie jest tak łatwa do naśladowania jak kod Magento Core.

Zgodność z PCI ma wiele drobnych niuansów, które w rzeczywistości powodują, że CE nie jest w pełni zgodny z PCI. Najszybszym i często najlepszym sposobem na zgodność ze standardem PCI w CE jest użycie zewnętrznego systemu bramek do tokenizacji. Istnieje kilka rozszerzeń, które już mają zintegrowane CIM z Authorize.net lub Cybersource Payment Profiles, i kilka innych. Oznacza to, że po prawidłowym wdrożeniu wszystko, co przechowujesz, to identyfikator profilu klienta, a dane karty kredytowej są przechowywane w bramce płatności.

Biorąc to pod uwagę, nie sądzę, aby twoje pytanie wyraźnie zawierało informacje, które chcesz przechowywać na temat transakcji, którą chcesz ulepszyć w celu spełnienia zgodności z PCI. Bez dodatkowych informacji trudno jest rozwiązać konkretną architekturę wymagań.

mprototyp
źródło
Re: sonassi twoja odpowiedź jest nieprawidłowa CE został uznany za zgodny z PCI, dopóki zasady zgodności PCI nie zmienią się w 2010 roku i CE nie będzie już spełniać wymagań.
mprototyp
PO było całkiem jasne, że nie przetwarzają ani nie przechowują żadnych informacji o posiadaczach kart, polegają na usługach zewnętrznych w zakresie przechwytywania i przetwarzania płatności. Każda aplikacja może być zgodna z PCI, w tym CE, bez ciężkiej pracy, pod warunkiem, że tak naprawdę nie przechowujesz danych posiadacza karty. Zgodność z PCI to nie tylko oprogramowanie, którego używasz. Chodzi o praktyki i wdrażanie w firmie.
Ben Lessani - Sonassi
Ładne głosowanie w dół ... Powiedziałem również, że CE może być zgodny ... ale nie jest gotowy, i tak, proces biz jest również ważny, ale myślę, że nie przyznajesz się za dobrą wartość w odpowiedzi, nawet jeśli mój punkt widzenia jest w konflikcie z twoim i zdarza się, że omawiasz rozwiązania niektórych problemów w przypadku podjęcia wysiłków związanych ze zgodnością PCI, czego nie zrobiła Twoja odpowiedź. W twojej odpowiedzi nie widziałem również żadnej wzmianki o Payment Bridge ani o tym, co Payment Bridge osiąga w zakresie zgodności z PCI. I podtrzymuję moje oświadczenie ... twierdzenie, że zgodność PCI z CE była tam i nigdy się nie zmieniła, jest błędem. wymagania uległy zmianie
mprototyp
1
PO nigdy nie wykazywał zainteresowania EE. To pytanie dotyczy CE. CE nie ma certyfikatu PA-DSS , ale to nie to samo co zgodny z PCI. Natywnie nie można przechowywać danych CC w sposób PCI za pomocą CE - ale OP nigdy nie zamierzał tego robić.
Ben Lessani - Sonassi
0

Myślę, że zwykle są dwa sposoby:

  1. Nie chcesz tego robić sam, ponieważ jesteś małym sklepem, powinieneś pozostać w CE i skorzystać z usług dostawcy płatności, aby zrobić to za Ciebie

  2. Jesteś dużą firmą, oczekujesz wielu transakcji i chcesz to zrobić sam. Powinieneś mieć wystarczająco dużo pieniędzy, aby korzystać z EE.

STARA ODPOWIEDŹ:

Musisz zaszyfrować wszystkie dane karty kredytowej (dzięki @sonassi) w sposób „PCIish” i wiele więcej. Aby sprawdzić zgodność ze standardem PCI, trzeba dużo pieniędzy. Dlaczego tego chcesz Użyj EE :-)

Wszystkie potrzebne informacje można znaleźć na stronie internetowej PCI

I nie sądzę, że jest tu wielu programistów, którzy znają standard, ja też.

Zgodność z PCI nie ma z czym się bawić. Jeśli tego chcesz, musisz wydać dużo pieniędzy i potrzebujesz ekspertów.

Fabian Blechschmidt
źródło
Nie musisz szyfrować niczego poza danymi posiadacza karty .
Ben Lessani - Sonassi
Nie sądzę, aby zalecenie EE było kiedykolwiek uzasadnione w próbie spełnienia Zgodności z PCI - nawet jeśli OP zapisywał szczegóły CC (które nie są).
Ben Lessani - Sonassi
0

Istnieją wtyczki (np. Firma bezpieczeństwa Foregenix ma taką, która rejestruje, monitoruje zmiany plików i kilka innych rzeczy), które mogą pomóc w szybkim i prostym wdrożeniu niektórych kontrolek PCI. Ale jeśli chcesz wybrać najłatwiejszą drogę z punktu widzenia zgodności, powinieneś naprawdę rozważyć użycie hostowanej strony płatności z bramki płatności. Umożliwi to korzystanie z SAQ A-EP (o ile nie próbujesz zrobić czegoś innego niż zwykła hostowana strona płatności).

ZWE
źródło