Je envisage d'utiliser eway comme passerelle de paiement. Ils offrent deux options. L'une est de permettre aux utilisateurs de saisir des données de carte de crédit sur le site Web hébergé par eway, l'autre pour utiliser mon propre formulaire et envoyer des données de carte de crédit via mon serveur à l'Aways Backend. La deuxième option ( leur page avec des détails ) Semble plus approprié pour moi car l'utilisateur ne quitterait jamais mon site et que la marque serait maintenu. Maintenant, j'ai parlé pour soutenir et ils ont dit que mon site sera compatible PCI tant que j'utilise SSL. Donc, fondamentalement, je peux permettre aux utilisateurs de fournir des numéros CC sur mon site et de l'envoyer à l'eways Backend via XML. Tant que je ne stocke pas de données sensibles, mais ne transférez que cela va bien. Jusqu'à présent, je pensais que les données CC frappent mon serveur mon site doit être conforme à PCI mais maintenant je ne suis pas sûr. Si quelqu'un pouvait m'expliquer comment c'est vraiment ce serait très apprécié.
4 Réponses :
Si votre système gère les données de la carte, sa portée de PCI et doit être conforme à PCI.
q: à qui PCI applique-t-il?
A: PCI s'applique à toutes les organisations ou marchands, peu importe la taille ou Nombre de transactions, queaccepte , transmet ou stocke n'importe quel titulaire de carte Les données. Dit un autre moyen, le cas échéant client de cette organisation jamais paie directement le marchand en utilisant un carte de crédit ou carte de débit, puis le Les exigences PCI DSS s'appliquent http://www.pcicallerrerguide.org/pcifaqs.php
éditer; "eways" Alors que votre fournisseur de passerelle est de niveau 1, et sa célébrité pour s'assurer de votre compatible PCI, c'est donc un peu mangé d'eux de vous paumer avec le SSL Spiel.
Si nous stockons uniquement des détails de la bande telles que la banque 'Numéro de compte', "Titre du compte", etc. Dans ce cas, les exigences PCI DSS s'appliquent ou non @Alex K. ma question postée ci-dessous Stackoverflow.com/questions/54665191/...
Nous avons récemment mis en œuvre des transactions par carte de crédit pour un site de commerce électronique à l'aide d'un autre fournisseur de passerelle de paiement. C'est ce que nous avons appris sur la conformité PCI DSS.
Les exigences détaillées PCI DSS sont disponibles sur ce lien Normes de sécurité des données PCI
Maintenant c'est ce qui me rend confus ... Jusqu'à présent, j'étais assez confiant que même si je ne stocke pas les informations CC, mais que vous ne devez pas encore faire de mon site PCI conforme. C'est tout à fait face à ce que vous dites ce que vous dites, alors quelle est la vérité? :)
Si les données de la carte de crédit ne frappent jamais physiquement votre serveur (y compris la RAM en raison d'un poste de formulaire), les PCI-DSS ne s'appliquent pas. Les normes de données PCI couvrent votre sécurité réseau, vos correctifs du système d'exploitation et ainsi de suite. Parce qu'ils souhaitent assurer que les données de carte sensibles sont sécurisées à partir de toute utilisation abusive, lors de la transmission du réseau (couverte à l'aide de SSL) ou de stockage (couvert par cryptage). Dans votre cas, vous devez vous assurer que les données de la carte sont transmises de manière sécurisée à la passerelle de paiement après la transaction (SSL) utilisent le formulaire SSL par défaut de votre passerelle de paiement.
@inlokesh: PCI s'applique à un niveau à des cartes de traitement de marchands. C'est juste un enfer de beaucoup plus facile à passer si vous pouvez dire "Aucune carte touche notre système, elle est faite par Paiement Gateway X".
On dirait que vous avez reçu beaucoup de réponses contradictoires. Je travaille dans une entreprise de paiements et j'ai subi un audit de fournisseur de services de niveau 1, et je traite quotidiennement avec les marchands et leurs exigences de PCI, alors je pense que je peux aider à préciser cela pour vous.
La réalité est que vous devez être conforme à PCI si vous acceptez des cartes de crédit, même si vous externalisez toutes les fonctions de données du titulaire de la carte. L'astuce est que la norme que vous devez rencontrer est beaucoup moins restrictive que la norme La passerelle de paiement doit se rencontrer - mais cela ne signifie pas "PCI ne s'applique pas". Vous n'avez pas à gérer les exigences de sécurité réseau vraiment difficiles, mais il y a des aspects de la PCI DSS que vous devez vous conformer et vous devez effectuer un audit d'auto-évaluation chaque année. `
Pour plus de détails sur la partie de la DSS, allez-vous gérer, aller à PCisecuritStandards.org et regardez la validation SAQ Type 1 (questionnaire A). Cela vous indiquera exactement quelles parties de la PCI DSS vous devez implémenter en tant que marchand avec toutes les fonctions de titulaire de carte sous-traitées.
J'espère que cela aide les choses claires pour vous!
Merci Mike :) n'est-ce pas vrai que je devais avoir à travers la validation de la SAQ Type 1 (Qeust. A) Seulement si je retient des rapports papier ou des reçus avec des données de titulaire de carte? Si je n'ai pas cela, ni transmettre / stocker aucune de ces données, je n'ai pas besoin de vous embêter avec la conformité PCI de quelque manière que ce soit?
Vous devrez toujours faire une auto-évaluation à l'aide d'un questionnaire A, mais la première partie de celle-ci sera principalement marquée comme n / a pour vous. Les pièces sous "Politique de sécurité de l'information" s'appliquent toujours. Même si vous ne devez jamais montrer l'auto-évaluation à personne, je vous recommanderais toujours de le faire et de vous assurer que les exigences de la politique de sécurité sont remplies - de cette façon, vous n'avez jamais à vous inquiéter si votre processeur a une violation de la sécurité, car vous avez satisfait. Vos exigences PCI-DSS et peuvent éviter les amendes pouvant être évaluées par VISA. IMHO, c'est juste un "meilleur sûr que désolé" genre de chose.
Hey Mike, nous travaillons sur un projet, nous acceptons le paiement de l'utilisateur avec la passerelle de paiement Braintree avec l'interface utilisateur d'origine, nous ne stockons pas les numéros de carte de crédit sur notre base de données. Devons-nous encore être compatibles PCI? Et une autre chose, que si nous conservons uniquement des coordonnées bancaires telles que la banque 'Numéro de compte', "Titre du compte", etc. Dans ce cas, les exigences PCI DSS s'appliquent ou non. Stackoverflow .com / questions / 54665191 / ...
Le bon lien est maintenant pcisecurittandards.org/pci_security/... mais la file d'attente suggérée est pleine. Je ne peux pas faire le changement.
En bref, si vous acceptez des paiements (même si vous les externalisez totalement), vous devez être conforme à PCI. Le principal facteur de détermination du nombre de contrôles de sécurité que vous devez rencontrer est le type de passerelle de paiement que vous utilisez.
J'ai aidé auteur d'un papier blanc pour la communauté drupale , mais les concepts s'appliquent à travers le tableau. Je recommande fortement de le lire. Et si vous avez des commentaires, veuillez déposer un problème dans la file d'attente Github.