Kepatuhan Magento CE PCI

22

Apa langkah-langkah yang perlu diambil untuk mencapai PCI Compliance untuk Magento CE?

Misalnya menggunakan pembayaran situs web Paypal pembayaran pro atau bijak langsung di toko akan membantu untuk mencapai kepatuhan PCI?

payment-gateway blakcaps
sumber
Anda harus mengenkripsi semua data dengan cara "PCIish". Untuk mengecek kepatuhan PCI biaya afaik banyak uang. Mengapa kamu menginginkan ini? Gunakan EE :-)
Fabian Blechschmidt
Jika Anda ingin menghindari kemungkinan kesulitan, gunakan metode pembayaran yang dihosting. Seperti server SagePay atau standar PayPal.
Ben Lessani - Sonassi

Jawaban:

15

Tidak ada alasan mengapa CE tidak dapat PCI Compliant

Itu selalu dianggap sebagai PCI Compliant - sampai EE datang, maka EE membutuhkan USP lain. Selama Anda tidak menyimpan rincian CC - tidak ada persyaratan untuk enkripsi data lain (nama pelanggan / alamat dll).

Tetapi ingatlah bahwa Kepatuhan PCI adalah persyaratan sisi aplikasi sebanyak seperangkat aturan dan definisi untuk menjalankan perusahaan Anda dan menangani informasi sensitif.

SAQ

Tingkat kepatuhan seperti apa yang Anda lakukan akan menentukan apa yang perlu Anda lakukan untuk memastikan Kepatuhan PCI. Jika SAQ (kuesioner penilaian mandiri) cocok untuk ukuran bisnis Anda, maka Anda dapat lulus tanpa bantuan CE - ketika menggunakan metode pembayaran eksternal (seperti yang dijelaskan).

Kalau tidak, di atas level SAQ - Anda akan memerlukan QSA - dan Anda berbicara banyak uang dengan bantuan profesional. Fakta yang Anda tanyakan di sini mungkin menentukan Anda tidak berada dalam batas ini.

Anda mungkin akan jatuh di bawah SAQ-D

Bagaimana Anda menerima kartu pembayaran?

A. pedagang kartu-tidak-hadir (e-commerce atau surat / telepon), semua fungsi data pemegang kartu di-outsourcing-kan. Ini tidak akan berlaku untuk pedagang tatap muka.

B. Pedagang khusus cetak tanpa penyimpanan data pemegang kartu elektronik, atau pedagang terminal keluar yang berdiri sendiri tanpa penyimpanan data pemegang kartu elektronik.

C-VT. Pedagang hanya menggunakan terminal virtual berbasis web, tidak ada penyimpanan data pemegang kartu elektronik.

C. Pedagang dengan sistem aplikasi pembayaran yang terhubung ke Internet, tidak ada penyimpanan data pemegang kartu elektronik.

D. Semua pedagang lain yang tidak termasuk dalam deskripsi untuk SAQ tipe A sampai C di atas, dan semua penyedia layanan yang ditentukan oleh merek pembayaran memenuhi syarat untuk menyelesaikan SAQ.

Lihat https://www.pcisecuritystandards.org/smb/what_to_secure.html

Tingkat Pedagang / Transaksi

  1. Pedagang yang memproses lebih dari 6 juta transaksi Visa setiap tahun (semua saluran) atau pedagang Global yang diidentifikasi sebagai Level 1 oleh wilayah Visa 2
  2. Pedagang memproses 1 juta hingga 6 juta transaksi Visa setiap tahun (semua saluran)
  3. Pedagang memproses 20.000 hingga 1 juta transaksi e-commerce Visa setiap tahun
  4. Pedagang yang memproses kurang dari 20.000 transaksi e-commerce Visa setiap tahun dan semua pedagang lainnya yang memproses hingga 1 juta transaksi Visa setiap tahun

Lihat http://usa.visa.com/merchants/risk_management/cisp_merchants.html

Yang penting adalah membedakan tingkat pedagang dan tingkat SAQ. Mereka terpisah. Anda bisa menjadi SAQ-D sebagai pedagang Level 2. Faktanya, dalam kebanyakan kasus, Anda dapat menilai sendiri hingga Level 2 saat berada di level SAQ-D - karena persyaratannya lebih longgar karena Anda sama sekali tidak menangani data kartu.

Hanya menggunakan EE tidak membuat Anda PCI Compliant, cara yang sama menggunakan host PCI Compliant tidak membuat Anda PCI Compliant. Bisnis Anda secara keseluruhan (aplikasi, bisnis / staf, hosting) semuanya harus PCI Compliant.

Ben Lessani - Sonassi
sumber
2

Level PCI yang perlu Anda patuhi tergantung pada berapa banyak transaksi yang kemungkinan Anda akan miliki. Sebagai langkah pertama Anda harus menentukan level mana yang akan berlaku untuk Anda:

  1. Setiap pedagang - terlepas dari saluran penerimaan - memproses lebih dari 6 juta transaksi Visa per tahun. Setiap pedagang yang ditentukan oleh Visa, atas kebijakannya sendiri, harus memenuhi persyaratan pedagang Tingkat 1 untuk meminimalkan risiko terhadap sistem Visa.
  2. Setiap pedagang - terlepas dari saluran penerimaan - memproses 1M hingga 6M transaksi Visa per tahun.
  3. Setiap pedagang yang memproses 20.000 hingga 1 juta transaksi e-commerce Visa per tahun.
  4. Setiap pedagang yang memproses kurang dari 20.000 transaksi e-commerce Visa per tahun, dan semua pedagang lainnya - terlepas dari saluran penerimaan - memproses hingga 1 juta transaksi Visa per tahun.

http://usa.visa.com/merchants/risk_management/cisp_merchants.html ini dari VISA tetapi juga akan berlaku untuk PCI

Dengan setiap level Anda akan memiliki persyaratan yang berbeda untuk dipenuhi. Setelah Anda melakukan penilaian, saya yakin seseorang akan dapat memberi Anda jawaban yang lebih terperinci tentang langkah-langkah apa yang harus diambil dengan CE.

Kristof di Fooman
sumber
1

Enterprise Edition dilengkapi dengan aplikasi yang disebut Payment Bridge yang menangani jumlah enkripsi yang sangat bagus dan dapat dijalankan pada server yang terpisah dari aplikasi Anda. Ini bisa sangat mematikan untuk sebagian besar konteks, dan membutuhkan kesediaan untuk mengisolasi dan men-debug kode aplikasi dalam organisasi OO yang tidak mudah diikuti sebagai kode Magento Core.

Kepatuhan PCI memiliki banyak nuansa kecil yang sebenarnya membuat CE tidak sepenuhnya memenuhi PCI. Cara tercepat dan sering terbaik untuk menjadi PCI compliant pada CE adalah dengan menggunakan sistem gateway pembayaran tokenization pihak ketiga. Ada beberapa ekstensi yang sudah memiliki CIM Authorize.net terintegrasi, atau Profil Pembayaran Cybersource, dan beberapa lainnya. Ini berarti bahwa ketika diterapkan dengan benar, semua yang pernah Anda simpan adalah profilID untuk pelanggan dan data kartu kredit disimpan di gateway pembayaran.

Yang sedang berkata, saya tidak berpikir pertanyaan Anda dengan jelas menyatakan informasi yang ingin Anda simpan tentang transaksi yang Anda ingin tingkatkan untuk memenuhi kepatuhan PCI. Tanpa informasi lebih lanjut, sulit untuk membantu menyelesaikan arsitektur kebutuhan khusus Anda dengan kekhususan apa pun.

mprototipe
sumber
Re: sonassi jawaban Anda salah, CE dianggap memenuhi PCI, hingga aturan kepatuhan PCI berubah pada 2010 dan CE tidak lagi sesuai dengan persyaratan.
mprototype
OP cukup jelas bahwa mereka tidak memproses atau menyimpan informasi pemegang kartu, mereka mengandalkan layanan eksternal untuk menangkap dan memproses pembayaran. Setiap aplikasi dapat PCI compliant, CE termasuk, tanpa kerja keras selama Anda tidak benar-benar menyimpan data pemegang kartu. Tetapi kepatuhan PCI bukan hanya perangkat lunak yang Anda gunakan. Semuanya tentang praktik dan implementasi perusahaan.
Ben Lessani - Sonassi
Pilih yang bagus ... Saya juga mengatakan CE dapat memenuhi persyaratan ... tetapi tidak keluar dari kotak, dan ya proses biz juga penting, tapi saya kira Anda tidak memberikan kredit untuk nilai yang baik dalam tanggapan bahkan jika saya sudut pandang bertentangan dengan masalah Anda dan kebetulan membahas solusi untuk beberapa masalah jika upaya kepatuhan PCI dilakukan yang respons Anda tidak lakukan. Saya juga tidak melihat penyebutan Bridge Pembayaran atau apa yang dilakukan Bridge Pembayaran terhadap kepatuhan PCI dalam respons Anda. Dan saya mendukung pernyataan saya ... pernyataan bahwa kepatuhan PCI CE ada di sana dan tidak pernah berubah adalah kesalahan. persyaratan berubah
mprototype
1
OP tidak pernah menunjukkan minat pada EE. Pertanyaan ini tentang CE. CE tidak bersertifikasi PA-DSS , tetapi itu tidak sama dengan PCI-compliant. Secara asli, Anda tidak dapat menyimpan data CC dengan cara PCI dengan CE - tetapi OP tidak pernah bermaksud demikian.
Ben Lessani - Sonassi
0

Saya pikir biasanya ada dua cara:

  1. Anda tidak ingin melakukannya sendiri, karena Anda adalah toko kecil, maka Anda harus tetap dengan CE dan menggunakan beberapa penyedia pembayaran untuk melakukan hal ini untuk Anda.

  2. Anda adalah perusahaan besar dan mengharapkan banyak transaksi dan ingin melakukannya sendiri. Maka Anda harus memiliki cukup uang untuk menggunakan EE.

JAWABAN TUA:

Anda harus mengenkripsi semua data kartu kredit (terima kasih kepada @sonassi) dengan cara "PCIish", dan banyak lagi. Untuk mengecek kepatuhan PCI biaya afaik banyak uang. Mengapa kamu menginginkan ini? Gunakan EE :-)

Semua informasi yang Anda butuhkan dapat ditemukan di Situs PCI

Dan saya tidak berpikir ada banyak pengembang di sini, yang tahu standarnya, saya juga tidak.

Kepatuhan PCI tidak ada artinya. Jika Anda menginginkan ini, Anda harus menghabiskan banyak uang dan Anda membutuhkan ahli.

Fabian Blechschmidt
sumber
Anda tidak perlu mengenkripsi apa pun selain Rincian Pemegang Kartu .
Ben Lessani - Sonassi
Saya tidak berpikir rekomendasi EE pernah dijamin dalam upaya untuk memenuhi Kepatuhan PCI - bahkan jika OP menyimpan rincian CC (yang tidak).
Ben Lessani - Sonassi
0

Ada beberapa plugin (misalnya perusahaan keamanan Foregenix memiliki satu yang melakukan pencatatan, pemantauan perubahan file, dan beberapa hal lainnya) yang dapat membantu menempatkan beberapa kontrol PCI pada tempatnya dengan cepat dan sederhana. Tetapi jika Anda ingin mengambil jalur termudah dari perspektif kepatuhan, Anda harus benar-benar mempertimbangkan untuk menggunakan halaman pembayaran yang di-host dari gateway pembayaran Anda. Ini akan memungkinkan Anda untuk menggunakan SAQ A-EP (selama Anda tidak mencoba melakukan sesuatu yang berbeda dari halaman pembayaran yang di-host biasa).

ZWE
sumber