используя платежный шлюз и соответствие PCI - PullRequest
Новая
       10

используя платежный шлюз и соответствие PCI

6 голосов
/ 08 июля 2010

Я рассматриваю возможность использования eWay в качестве платежного шлюза.Они предлагают два варианта.Один из них - разрешить пользователям вводить данные кредитной карты на веб-сайте eWay, другой - использовать мою собственную форму и отправлять данные кредитной карты через мой сервер в серверную часть eWays.Второй вариант ( их страница с подробностями ) кажется мне более подходящим, так как пользователь никогда не покинет мой сайт, и брендинг будет сохранен.Теперь я поговорил со службой поддержки, и они сказали, что мой сайт будет совместим с PCI, если я использую SSL.Таким образом, я могу позволить пользователям указывать номера CC на моем сайте и отправлять их на сервер eWays через XML.Пока я не храню конфиденциальные данные, но передача только это нормально.До сих пор я думал, что пока данные CC попадают на мой сервер, мой сайт должен быть PCI-совместимым, но сейчас я не уверен.Если бы кто-то мог объяснить мне, как это на самом деле, я был бы очень признателен.

Ответы [ 4 ]

7 голосов
/ 29 июля 2010

Похоже, вы получили много противоречивых ответов. Я работаю в платежной компании и прошел аудит поставщика услуг уровня 1, и я ежедневно работаю с продавцами и их требованиями к PCI, поэтому думаю, что смогу помочь вам разобраться в этом.

Реальность такова, что вам необходимо быть PCI-совместимым, если вы принимаете кредитные карты, даже если вы передаете на аутсорсинг ВСЕ функции данных владельца карты. Хитрость в том, что стандарт, которому вы должны соответствовать, гораздо менее строг, чем стандарт, которому должен соответствовать платежный шлюз - но это не означает, что «PCI не применяется». Вам не нужно иметь дело с действительно жесткими требованиями к безопасности сети, но есть некоторые аспекты PCI DSS, которые вы должны соблюдать, и вам необходимо ежегодно проводить аудит самооценки. `

Для получения подробной информации о том, с какой частью DSS вы должны иметь дело, перейдите на https://www.pcisecuritystandards.org/saq/instructions_dss.shtml и щелкните ссылку для SAQ Validation Type 1 (Анкета A). Это точно скажет вам, какие части PCI DSS вы должны реализовать в качестве продавца с привлечением всех функций держателя карты.

Надеюсь, это поможет вам разобраться!

7 голосов
/ 08 июля 2010

Если ваша система обрабатывает данные карты, то она входит в сферу PCI и должна соответствовать PCI.

В: Для кого применяется PCI?
A: PCI относится ко всем организациям или торговцы, независимо от размера или количество транзакций, которые принимает , передает или хранит любого владельца карты данные. Сказал по-другому, если таковые имеются клиент этой организации когда-либо платит продавцу напрямую, используя кредитная или дебетовая карта, затем Применяются требования PCI DSS

http://www.pcicomplianceguide.org/pcifaqs.php

Edit; «eWays» в качестве вашего поставщика шлюзов относится к уровню 1, и его обязательство заключается в том, чтобы фактически обеспечить ваш PCI-совместимость, поэтому их немного хитроумно заточить с помощью SSL.

2 голосов
/ 09 января 2015

Короче говоря, если вы принимаете платежи (даже если вы полностью передаете их на аутсорсинг), вам необходимо быть PCI-совместимым. Самым важным фактором при определении того, сколько мер безопасности вам необходимо выполнить, является тип используемого вами шлюза оплаты.

Я помогал написать белую книгу для сообщества Drupal , но концепции применимы по всем направлениям. Я настоятельно рекомендую прочитать это. И если у вас есть какие-либо отзывы, пожалуйста, отправьте сообщение об ошибке в очередь GitHub.

1 голос
/ 09 июля 2010

Недавно мы осуществили транзакции по кредитным картам для сайта электронной коммерции, используя другого поставщика платежных шлюзов. Это то, что мы узнали о соответствии PCI DSS.

  1. Если вашим бизнес-требованием является хранение информации о клиенте вместе с информацией о его кредитной карте, то ваш сервер и сеть вокруг него должны быть совместимы с PCI
  2. Однако, если хранение информации о клиенте с данными кредитной карты не является критическим требованием, тогда вы используете ssl из провайдера платежного шлюза. Они должны предоставить средства для настройки формы, чтобы вы могли маркировать ее в соответствии с вашей компанией.

Подробные требования PCI DSS можно найти по этой ссылке Стандарты безопасности данных PCI

...