использование платежного шлюза и соответствия PCI
Я рассматриваю использование eWay как платежного шлюза. Они предлагают две опции. Каждый позволить пользователям вводить в данных кредитной карты по размещенному веб-сайту eWay, другой, чтобы использовать мою собственную форму и отправить данные кредитной карты через мой сервер к eWays бэкенду. Вторая опция (их страница с деталями) кажется более подходящей для меня, поскольку пользователь никогда не покидал бы мой сайт, и брендинг будет сохраняться. Теперь, я говорил с поддержкой, и они сказали, что моим сайтом будет PCI, совместимый, пока я использую SSL. Так в основном я могу позволить пользователям обеспечивать числа CC на своем сайте и отправлять его в eWays бэкенд через XML. Пока я не храню уязвимые данные, но передаю, только они в порядке. До сих пор я думал, пока данные CC поражают мой сервер, моим сайтом должен быть совместимый PCI, но теперь я не уверен. Если кто-то мог бы объяснить мне, как это действительно, это очень ценилось бы.
3 ответа
Если ваша система обрабатывает данные карты, то она находится в сфере действия PCI и должна быть совместима с PCI.
Q: К кому применяется PCI?
A: PCI применяется ко ВСЕМ организациям или торговцев, независимо от размера или количества транзакций, которые принимают, передает или хранит любые данные держателей карт. данные. Говоря иначе, если любой клиент этой организации когда-либо платит продавцу напрямую, используя кредитной или дебетовой карты, то применяются требования PCI DSS
http://www.pcicomplianceguide.org/pcifaqs.php
Edit; "eWays" как ваш провайдер шлюза является Tier 1, и они обязаны обеспечить соответствие PCI, так что с их стороны немного сомнительно обманывать вас с помощью SSL.
Недавно мы реализовали транзакции по кредитным картам для сайта электронной коммерции с использованием другого поставщика платежных шлюзов. Это то, что мы узнали о соответствии PCI DSS.
- Если вашим бизнес-требованием является хранение информации о клиентах с информацией о кредитной карте, то ваш сервер и сеть вокруг него должны быть совместимы с PCI
- Однако, если хранение информации о клиенте с данными кредитной карты не является критическим требованием, то вы используете ssl от поставщика платежного шлюза. Они должны предоставить средства для настройки формы, чтобы вы могли брендировать ее, чтобы отразить вашу компанию.
Подробные требования PCI DSS можно найти по этой ссылке Стандарты безопасности данных PCI
Похоже, вы получили много противоречивых ответов. Я работаю в платежной компании и прошел аудит поставщика услуг уровня 1, и я ежедневно имею дело с продавцами и их требованиями PCI, поэтому я думаю, что могу помочь вам прояснить это.
Реальность такова, что вы должны соответствовать требованиям PCI, если принимаете кредитные карты, даже если вы передаете ВСЕ функции обработки данных о держателях карт на аутсорсинг. Хитрость в том, что стандарт, которому вы должны соответствовать, гораздо менее строг, чем стандарт, которому должен соответствовать платежный шлюз, но это не означает, что «PCI не применяется». Вам не обязательно иметь дело с действительно жесткими требованиями к сетевой безопасности, но есть аспекты PCI DSS, которым вы должны соответствовать, и вы должны ежегодно проводить аудит самооценки. `
Для получения подробной информации о том, с какой частью DSS вы должны иметь дело, перейдите к https://www.pcisecuritystandards.org/saq/instructions_dss.shtml и щелкните ссылку для типа проверки SAQ 1 ( Анкета А). Это подскажет вам, какие части стандарта PCI DSS вы должны реализовать как продавец, передав все функции держателя карт на аутсорсинг.
Надеюсь, это поможет вам прояснить ситуацию!