Соответствует ли эта настройка PCI?

Question

Я спорил с клиентом, который отказывается принимать стандарты PCI. Я хочу проверить с сообществом, чтобы убедиться, что я прав в своих возражениях.

Вопрос: Есть ли способ хранить информацию о кредитной карте на сервере общего хостинга И быть PCI-совместимым?

Вот настройка:

1) SSL внедряется для всего процесса оформления заказа и для раздела администратора сайта клиента.

2) Информация о кредитной карте хранится на сервере (план общего хостинга) в базе данных MYSQL. Он зашифрован.

3) Клиент получает доступ к защищенной паролем панели администратора и распечатывает кредитную карту со своего веб-сайта.

4) Затем клиент вручную запускает информацию о кредитной карте через терминал и удаляет эту информацию о кредитной карте с сервера.

Answer 1

Нет, это не так.

Прочитайте https://www.pcisecuritystandards.org/documents/Prioritized_Approach_V2.0.pdf - это хорошее руководство по PCI DSS.

Лично я бы сказал, что разделы 5-10 вряд ли будут здесь происходить.

Answer 2

Можно использовать провайдера виртуального хостинга и быть PCI-совместимым.Стандарт PCI включает в себя дополнительные элементы управления, которые должны быть в наличии, если вы используете (или используете) поставщика общего хостинга.

Дополнительные элементы управления включают возможность разделения процессов между различными клиентами, контроль доступа к данным одного клиентадругим клиентом контролируйте доступ к журналам аудита и др.

Однако, если вы решите пойти по этому пути ... удачи!

Answer 3

Взгляните на предложение maxASP от MaximumASP: http://www.maximumasp.com/products/cloudhosting/default.aspx

Они заявляют, что они «полностью совместимы с PCI» как для веб-уровней, так и для уровней данных в их облачном плане общего хостинга. Если нет доказательств обратного, ответ на ваш вопрос представляется «да» при условии, что Требование MaximumASP является действительным. Я недостаточно знаком с деталями PCI, чтобы спорить с ними, но мне было бы очень интересно, если бы кто-то еще мог опровергнуть претензию.

Answer 4

Иногда, как разработчики, мы должны направлять клиентов к лучшим практикам, даже когда они сопротивляются.Эта текущая практика хранения зашифрованных данных звучит крайне рискованно.Если ваш клиент будет признан виновным, одни штрафы могут разрушить его бизнес, и он может снова преследовать вас.На этом сайте есть полезная информация: https://www.owasp.org/index.php/Handling_E-Commerce_Payments

Многие торговые счета очень доступны для малого бизнеса.Вы должны изучить возможность установки вашего клиента с Authorize.net или аналогичным шлюзом.Настройка процесса корзины / оформления заказа довольно сложна, но если вы смогли настроить систему, как вы описали, я уверен, что вы могли бы выяснить это в течение недели.