Tuân thủ Magento CE PCI


22

Các bước cần thực hiện để đạt được Tuân thủ PCI cho Magento CE là gì?

Ví dụ: sử dụng thanh toán trang web Paypal pro hoặc sage thanh toán trực tiếp trong cửa hàng sẽ giúp đạt được sự tuân thủ PCI?


Bạn phải mã hóa tất cả dữ liệu theo cách "PCIish". Để kiểm tra chi phí tuân thủ PCI, rất nhiều tiền. Tại sao bạn muốn điều này? Sử dụng EE :-)
Fabian Blechschmidt

Nếu bạn muốn tránh những khó khăn tiềm ẩn, hãy sử dụng phương thức thanh toán được lưu trữ thay thế. Giống như máy chủ SagePay hoặc tiêu chuẩn PayPal.
Ben Lessani - Sonassi

Câu trả lời:


15

Không có lý do tại sao CE không thể tuân thủ PCI

Nó luôn được coi là tuân thủ PCI - cho đến khi EE xuất hiện, thì EE cần một USP khác. Miễn là bạn không lưu trữ chi tiết CC - không có yêu cầu mã hóa dữ liệu khác (tên / địa chỉ khách hàng, v.v.).

Nhưng hãy nhớ rằng Tuân thủ PCI là một yêu cầu phụ của ứng dụng vì nó là một bộ quy tắc và định nghĩa để điều hành công ty của bạn và xử lý thông tin nhạy cảm.

SAQ

Mức độ tuân thủ mà bạn rơi vào sẽ quyết định những gì bạn cần làm để đảm bảo Tuân thủ PCI. Nếu SAQ (bảng câu hỏi tự đánh giá) phù hợp với quy mô doanh nghiệp của bạn, thì bạn có thể chuyển khoản chưa thanh toán bằng CE - khi sử dụng phương thức thanh toán bên ngoài (chẳng hạn như mô tả).

Mặt khác, trên các mức SAQ - dù sao bạn cũng sẽ cần QSA - và bạn đang nói về số tiền lớn với sự trợ giúp chuyên nghiệp. Thực tế bạn đang hỏi ở đây có thể quy định bạn không ở trong ranh giới này.

Bạn có thể sẽ rơi vào SAQ-D

Làm thế nào để bạn chấp nhận thẻ thanh toán?

A. Các thương nhân không có thẻ (thương mại điện tử hoặc thư / đặt hàng qua điện thoại), tất cả các chức năng dữ liệu của chủ thẻ được thuê ngoài. Điều này sẽ không bao giờ áp dụng cho các thương nhân mặt đối mặt.

B. Các thương nhân chỉ in dấu ấn không có lưu trữ dữ liệu chủ thẻ điện tử hoặc các thương nhân đầu cuối độc lập, quay số không có lưu trữ dữ liệu chủ thẻ điện tử.

C-VT. Người bán chỉ sử dụng thiết bị đầu cuối ảo dựa trên web, không lưu trữ dữ liệu chủ thẻ điện tử.

C. Người bán có hệ thống ứng dụng thanh toán được kết nối với Internet, không lưu trữ dữ liệu chủ thẻ điện tử.

D. Tất cả các thương nhân khác không được bao gồm trong các mô tả cho SAQ loại A đến C ở trên và tất cả các nhà cung cấp dịch vụ được xác định bởi một thương hiệu thanh toán đủ điều kiện để hoàn thành SAQ.

Xem https://www.pcisecuritystiterias.org/smb/what_to_secure.html

Cấp độ giao dịch / thương gia

  1. Thương nhân xử lý hơn 6 triệu giao dịch Visa hàng năm (tất cả các kênh) hoặc thương nhân toàn cầu được xác định là Cấp 1 bởi bất kỳ khu vực Visa 2 nào
  2. Thương nhân xử lý 1 triệu đến 6 triệu giao dịch Visa hàng năm (tất cả các kênh)
  3. Thương nhân xử lý 20.000 đến 1 triệu giao dịch thương mại điện tử Visa hàng năm
  4. Thương nhân xử lý ít hơn 20.000 giao dịch thương mại điện tử Visa hàng năm và tất cả các thương nhân khác xử lý lên tới 1 triệu giao dịch Visa hàng năm

Xem http://usa.visa.com/merchants/risk_manloyment/cisp_merchants.html


Điều quan trọng là phân biệt cấp độ thương gia và cấp độ SAQ. Họ là riêng biệt. Bạn có thể là SAQ-D với tư cách là một thương gia cấp 2. Trên thực tế, trong hầu hết các trường hợp, bạn có thể tự đánh giá lên cấp 2 khi ở cấp SAQ-D - vì các yêu cầu thoải mái hơn vì bạn hoàn toàn không xử lý dữ liệu thẻ.


Chỉ sử dụng EE không làm cho bạn tuân thủ PCI, giống như cách sử dụng máy chủ tuân thủ PCI không làm cho bạn tuân thủ PCI. Toàn bộ doanh nghiệp của bạn (ứng dụng, doanh nghiệp / nhân viên, lưu trữ) đều phải tuân thủ PCI.


2

Mức PCI bạn cần tuân thủ phụ thuộc vào số lượng giao dịch bạn có thể sẽ có. Bước đầu tiên bạn nên tìm ra mức độ nào sẽ áp dụng cho bạn:

  1. Bất kỳ thương gia nào - bất kể kênh chấp nhận - xử lý hơn 6 triệu giao dịch Visa mỗi năm. Bất kỳ thương nhân nào mà Visa, theo quyết định riêng của mình, xác định phải đáp ứng các yêu cầu của người bán Cấp 1 để giảm thiểu rủi ro cho hệ thống Visa.
  2. Bất kỳ thương gia nào - bất kể kênh chấp nhận - xử lý các giao dịch Visa 1M đến 6M mỗi năm.
  3. Bất kỳ thương gia nào xử lý 20.000 đến 1 triệu giao dịch thương mại điện tử Visa mỗi năm.
  4. Bất kỳ thương gia nào xử lý ít hơn 20.000 giao dịch thương mại điện tử Visa mỗi năm và tất cả các thương nhân khác - bất kể kênh chấp nhận - xử lý tối đa 1 triệu giao dịch Visa mỗi năm.

http://usa.visa.com/merchants/risk_manloyment/cisp_merchants.html đây là từ VISA nhưng sẽ áp dụng tương tự cho PCI

Với mỗi cấp độ, bạn sẽ có những yêu cầu khác nhau để đáp ứng. Khi bạn đã thực hiện đánh giá, tôi chắc chắn ai đó sẽ có thể cung cấp cho bạn câu trả lời chi tiết hơn về các bước cần thực hiện với CE.


1

Enterprise Edition đi kèm với một ứng dụng có tên là Cầu thanh toán , xử lý một lượng mã hóa thực sự tốt và có thể chạy trên một máy chủ riêng biệt so với ứng dụng của bạn. Điều này có thể bị giết quá mức đối với hầu hết các bối cảnh và yêu cầu sẵn sàng cô lập và gỡ lỗi mã ứng dụng trong một tổ chức OO không dễ theo dõi như mã Magento Core.

Tuân thủ PCI có nhiều sắc thái nhỏ thực sự làm cho CE không hoàn toàn tuân thủ PCI. Cách nhanh nhất và thường là tốt nhất để tuân thủ PCI trên CE là sử dụng hệ thống cổng thanh toán mã thông báo của bên thứ ba. Có một vài tiện ích mở rộng đã được tích hợp Authorize.net CIM hoặc Hồ sơ thanh toán không gian mạng và một số tiện ích khác. Điều này có nghĩa là khi được triển khai chính xác, tất cả những gì bạn từng lưu trữ là profileID cho khách hàng và dữ liệu thẻ tín dụng được lưu trữ trên cổng thanh toán.

Điều đó đang được nói, tôi không nghĩ rằng câu hỏi của bạn nêu rõ thông tin bạn muốn lưu trữ về giao dịch mà bạn đang tìm cách nâng cao để đáp ứng tuân thủ PCI. Không có thêm thông tin, rất khó để giúp giải quyết kiến ​​trúc yêu cầu cụ thể của bạn với bất kỳ tính cụ thể nào.


Re: sonassi câu trả lời của bạn không chính xác CE được coi là tuân thủ PCI cho đến khi các quy tắc tuân thủ PCI thay đổi trong năm 2010 và CE không còn phù hợp với yêu cầu.
mprototype

OP khá rõ ràng rằng họ không xử lý hoặc lưu trữ bất kỳ thông tin chủ thẻ nào, họ đang dựa vào các dịch vụ bên ngoài để nắm bắt và xử lý thanh toán. Bất kỳ ứng dụng nào cũng có thể tuân thủ PCI, bao gồm CE, mà không cần bất kỳ công việc khó khăn nào miễn là bạn không thực sự lưu trữ dữ liệu chủ thẻ. Nhưng tuân thủ PCI không chỉ là phần mềm bạn đang sử dụng. Đó là tất cả về thực hành công ty và thực hiện.
Ben Lessani - Sonassi

Bỏ phiếu tốt ... Tôi cũng nói CE có thể tuân thủ ... nhưng không phải là vấn đề, và vâng, quá trình biz cũng quan trọng, nhưng tôi đoán bạn không công nhận giá trị tốt trong phản hồi ngay cả khi tôi quan điểm mâu thuẫn với bạn và tình cờ thảo luận các giải pháp cho một số vấn đề nếu các nỗ lực tuân thủ PCI được thực hiện mà phản hồi của bạn không được thực hiện. Tôi cũng không thấy đề cập đến Cầu thanh toán cũng như Cầu thanh toán nào đạt được sự tuân thủ PCI trong phản hồi của bạn. Và tôi đứng trước tuyên bố của mình ... sự khẳng định rằng việc tuân thủ PCI của CE đã có và không bao giờ thay đổi là sai lầm. các yêu cầu đã thay đổi
mprototype

1
OP không bao giờ tỏ ra quan tâm đến EE. Câu hỏi này là về CE. CE không được chứng nhận PA-DSS , nhưng điều đó không giống với tuân thủ PCI. Về cơ bản, bạn không thể lưu trữ dữ liệu CC theo cách PCI với CE - nhưng OP không bao giờ có ý định.
Ben Lessani - Sonassi

0

Tôi nghĩ bình thường có hai cách:

  1. Bạn không muốn tự làm điều đó, vì bạn là một cửa hàng nhỏ, sau đó bạn nên ở lại với CE và sử dụng một số nhà cung cấp thanh toán để thực hiện điều này cho bạn

  2. Bạn là một công ty lớn và mong đợi rất nhiều giao dịch và muốn tự làm điều đó. Sau đó, bạn nên có đủ tiền để sử dụng EE.

TRẢ LỜI:

Bạn phải mã hóa tất cả dữ liệu thẻ tín dụng (nhờ @sonassi) theo cách "PCIish" và hơn thế nữa. Để kiểm tra chi phí tuân thủ PCI, rất nhiều tiền. Tại sao bạn muốn điều này? Sử dụng EE :-)

Tất cả thông tin bạn cần có thể được tìm thấy trên trang web PCI

Và tôi không nghĩ rằng có nhiều nhà phát triển ở đây, những người biết tiêu chuẩn, tôi cũng vậy.

Tuân thủ PCI là không có gì để chơi với. Nếu bạn muốn điều này, bạn phải chi rất nhiều tiền và bạn cần các chuyên gia.


Bạn không cần mã hóa bất cứ thứ gì ngoài Chi tiết chủ thẻ .
Ben Lessani - Sonassi

Tôi không nghĩ rằng một khuyến nghị EE đã từng được bảo đảm trong nỗ lực đáp ứng tuân thủ PCI - ngay cả khi OP đang lưu các chi tiết CC (mà chúng không phải).
Ben Lessani - Sonassi

0

Có các plugin (ví dụ: công ty bảo mật Foregenix có một plugin thực hiện ghi nhật ký, giám sát thay đổi tệp và một số thứ khác) có thể giúp đưa một số điều khiển PCI vào vị trí nhanh chóng và đơn giản. Nhưng nếu bạn đang tìm kiếm con đường dễ nhất từ ​​góc độ tuân thủ, bạn thực sự nên xem xét sử dụng trang thanh toán được lưu trữ từ cổng thanh toán của mình. Điều này sẽ cho phép bạn sử dụng SAQ A-EP (miễn là bạn không cố gắng làm điều gì đó khác với trang thanh toán được lưu trữ thông thường).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.