Secure DataVault для хранения данных кредитной карты - PCI DSS

Question

Я читал несколько статей, в которых описывается использование Datavault и токенизации для снижения нагрузки PCI DSS.

Мой вопрос заключается в том, существуют ли какие-либо компании, которые предлагают безопасное хранение данных, таких как данные кредитной карты, в обмен на токен, и предлагают ли они возможность просматривать данные, аутентифицируя себя и предоставляя им токен обратно??

Будет ли эта установка соответствовать стандарту PCI DSS?

Answer 1

Компании, на которые вы ссылаетесь, обычно называются поставщиками платежных услуг (или PSP), и примерами могут быть SagePay, PayPal, Authorize.net и т. Д.

Эти компании, как правило, действуют не только как хранилище данных, они также позволяют авторизацию и оплату карты.Вы храните только идентификатор токена на своей стороне и используете идентификатор токена для запроса авторизации / расчета / возврата и т. Д. По мере необходимости.Получить информацию о карте от поставщика, совместимого с PCI, невозможно, так как это может поставить под угрозу их соответствие PCI.

Использование только PSP магическим образом не сделает вас совместимым с PCI, но значительно упростит его, поскольку снимает всю нагрузку, связанную с хранением данных карты.Тем не менее, у вас все еще будут области PCI, которым нужно будет соответствовать, главным образом, в отношении передачи информации о карте в PSP.

Answer 2

Существуют сторонние сервисы, такие как Spreedly, которые могут вам помочь.Однако ключевым моментом является то, что вы не можете видеть необработанные данные карты.Как только вы это сделаете (посмотрите), вы полностью перейдете в режим соответствия PCI, удалив большую часть ценностного предложения, которое вы имели в виду при использовании стороннего сервиса для выполнения токенизации.У Spreedly есть предложение PMD, которое позволит вам передавать необработанные данные CC стороннему API, который вы определили, чтобы решить эту проблему.

Answer 3

С тех пор, как это сообщение было сделано, была доступна сторонняя служба токенизации.Взгляните на https://spreedly.com/. Я сейчас нахожусь в поиске аналогичного решения.

Answer 4

Что случилось с PayPal?Они признаны во всем мире, используйте их в своих интересах.У них есть SDK, позволяющие взаимодействовать с сервером обработки Paypal ...

@ KSS: хорошо, достаточно справедливо, но вы бы сняли с себя бремя с точки зрения безопасности, которое было бы компенсировано стоимостьюдополнительные сборы, с одной стороны, дополнительные сборы, с другой - вопросы безопасности, регулирующие хранение обработки кредитных карт ... это то, что делает Paypal, конечно, сборы могут быть дорогими, но это в долгосрочной перспективе избавит вас от затрат на проблемы безопасностии горе (которое может доходить до тысяч долларов США, получение сертификатов, сертификатов безопасности, времени безотказной работы, затрат на сервер и т. д.)