Tuân thủ Magento CE PCI

Các bước cần thực hiện để đạt được Tuân thủ PCI cho Magento CE là gì?

Ví dụ: sử dụng thanh toán trang web Paypal pro hoặc sage thanh toán trực tiếp trong cửa hàng sẽ giúp đạt được sự tuân thủ PCI?

Không có lý do tại sao CE không thể tuân thủ PCI

Nó luôn được coi là tuân thủ PCI - cho đến khi EE xuất hiện, thì EE cần một USP khác. Miễn là bạn không lưu trữ chi tiết CC - không có yêu cầu mã hóa dữ liệu khác (tên / địa chỉ khách hàng, v.v.).

Nhưng hãy nhớ rằng Tuân thủ PCI là một yêu cầu phụ của ứng dụng vì nó là một bộ quy tắc và định nghĩa để điều hành công ty của bạn và xử lý thông tin nhạy cảm.

SAQ

Mức độ tuân thủ mà bạn rơi vào sẽ quyết định những gì bạn cần làm để đảm bảo Tuân thủ PCI. Nếu SAQ (bảng câu hỏi tự đánh giá) phù hợp với quy mô doanh nghiệp của bạn, thì bạn có thể chuyển khoản chưa thanh toán bằng CE - khi sử dụng phương thức thanh toán bên ngoài (chẳng hạn như mô tả).

Mặt khác, trên các mức SAQ - dù sao bạn cũng sẽ cần QSA - và bạn đang nói về số tiền lớn với sự trợ giúp chuyên nghiệp. Thực tế bạn đang hỏi ở đây có thể quy định bạn không ở trong ranh giới này.

Bạn có thể sẽ rơi vào SAQ-D

Làm thế nào để bạn chấp nhận thẻ thanh toán?

A. Các thương nhân không có thẻ (thương mại điện tử hoặc thư / đặt hàng qua điện thoại), tất cả các chức năng dữ liệu của chủ thẻ được thuê ngoài. Điều này sẽ không bao giờ áp dụng cho các thương nhân mặt đối mặt.

B. Các thương nhân chỉ in dấu ấn không có lưu trữ dữ liệu chủ thẻ điện tử hoặc các thương nhân đầu cuối độc lập, quay số không có lưu trữ dữ liệu chủ thẻ điện tử.

C-VT. Người bán chỉ sử dụng thiết bị đầu cuối ảo dựa trên web, không lưu trữ dữ liệu chủ thẻ điện tử.

C. Người bán có hệ thống ứng dụng thanh toán được kết nối với Internet, không lưu trữ dữ liệu chủ thẻ điện tử.

D. Tất cả các thương nhân khác không được bao gồm trong các mô tả cho SAQ loại A đến C ở trên và tất cả các nhà cung cấp dịch vụ được xác định bởi một thương hiệu thanh toán đủ điều kiện để hoàn thành SAQ.

Xem https://www.pcisecuritystiterias.org/smb/what_to_secure.html

Cấp độ giao dịch / thương gia

1. Thương nhân xử lý hơn 6 triệu giao dịch Visa hàng năm (tất cả các kênh) hoặc thương nhân toàn cầu được xác định là Cấp 1 bởi bất kỳ khu vực Visa 2 nào
2. Thương nhân xử lý 1 triệu đến 6 triệu giao dịch Visa hàng năm (tất cả các kênh)
3. Thương nhân xử lý 20.000 đến 1 triệu giao dịch thương mại điện tử Visa hàng năm
4. Thương nhân xử lý ít hơn 20.000 giao dịch thương mại điện tử Visa hàng năm và tất cả các thương nhân khác xử lý lên tới 1 triệu giao dịch Visa hàng năm

Xem http://usa.visa.com/merchants/risk_manloyment/cisp_merchants.html

Điều quan trọng là phân biệt cấp độ thương gia và cấp độ SAQ. Họ là riêng biệt. Bạn có thể là SAQ-D với tư cách là một thương gia cấp 2. Trên thực tế, trong hầu hết các trường hợp, bạn có thể tự đánh giá lên cấp 2 khi ở cấp SAQ-D - vì các yêu cầu thoải mái hơn vì bạn hoàn toàn không xử lý dữ liệu thẻ.

Chỉ sử dụng EE không làm cho bạn tuân thủ PCI, giống như cách sử dụng máy chủ tuân thủ PCI không làm cho bạn tuân thủ PCI. Toàn bộ doanh nghiệp của bạn (ứng dụng, doanh nghiệp / nhân viên, lưu trữ) đều phải tuân thủ PCI.

Mức PCI bạn cần tuân thủ phụ thuộc vào số lượng giao dịch bạn có thể sẽ có. Bước đầu tiên bạn nên tìm ra mức độ nào sẽ áp dụng cho bạn:

1. Bất kỳ thương gia nào - bất kể kênh chấp nhận - xử lý hơn 6 triệu giao dịch Visa mỗi năm. Bất kỳ thương nhân nào mà Visa, theo quyết định riêng của mình, xác định phải đáp ứng các yêu cầu của người bán Cấp 1 để giảm thiểu rủi ro cho hệ thống Visa.
2. Bất kỳ thương gia nào - bất kể kênh chấp nhận - xử lý các giao dịch Visa 1M đến 6M mỗi năm.
3. Bất kỳ thương gia nào xử lý 20.000 đến 1 triệu giao dịch thương mại điện tử Visa mỗi năm.
4. Bất kỳ thương gia nào xử lý ít hơn 20.000 giao dịch thương mại điện tử Visa mỗi năm và tất cả các thương nhân khác - bất kể kênh chấp nhận - xử lý tối đa 1 triệu giao dịch Visa mỗi năm.

http://usa.visa.com/merchants/risk_manloyment/cisp_merchants.html đây là từ VISA nhưng sẽ áp dụng tương tự cho PCI

Với mỗi cấp độ, bạn sẽ có những yêu cầu khác nhau để đáp ứng. Khi bạn đã thực hiện đánh giá, tôi chắc chắn ai đó sẽ có thể cung cấp cho bạn câu trả lời chi tiết hơn về các bước cần thực hiện với CE.

Enterprise Edition đi kèm với một ứng dụng có tên là Cầu thanh toán , xử lý một lượng mã hóa thực sự tốt và có thể chạy trên một máy chủ riêng biệt so với ứng dụng của bạn. Điều này có thể bị giết quá mức đối với hầu hết các bối cảnh và yêu cầu sẵn sàng cô lập và gỡ lỗi mã ứng dụng trong một tổ chức OO không dễ theo dõi như mã Magento Core.

Tuân thủ PCI có nhiều sắc thái nhỏ thực sự làm cho CE không hoàn toàn tuân thủ PCI. Cách nhanh nhất và thường là tốt nhất để tuân thủ PCI trên CE là sử dụng hệ thống cổng thanh toán mã thông báo của bên thứ ba. Có một vài tiện ích mở rộng đã được tích hợp Authorize.net CIM hoặc Hồ sơ thanh toán không gian mạng và một số tiện ích khác. Điều này có nghĩa là khi được triển khai chính xác, tất cả những gì bạn từng lưu trữ là profileID cho khách hàng và dữ liệu thẻ tín dụng được lưu trữ trên cổng thanh toán.

Điều đó đang được nói, tôi không nghĩ rằng câu hỏi của bạn nêu rõ thông tin bạn muốn lưu trữ về giao dịch mà bạn đang tìm cách nâng cao để đáp ứng tuân thủ PCI. Không có thêm thông tin, rất khó để giúp giải quyết kiến ​​trúc yêu cầu cụ thể của bạn với bất kỳ tính cụ thể nào.

Tôi nghĩ bình thường có hai cách:

1. Bạn không muốn tự làm điều đó, vì bạn là một cửa hàng nhỏ, sau đó bạn nên ở lại với CE và sử dụng một số nhà cung cấp thanh toán để thực hiện điều này cho bạn

2. Bạn là một công ty lớn và mong đợi rất nhiều giao dịch và muốn tự làm điều đó. Sau đó, bạn nên có đủ tiền để sử dụng EE.

TRẢ LỜI:

Bạn phải mã hóa tất cả dữ liệu thẻ tín dụng (nhờ @sonassi) theo cách "PCIish" và hơn thế nữa. Để kiểm tra chi phí tuân thủ PCI, rất nhiều tiền. Tại sao bạn muốn điều này? Sử dụng EE :-)

Tất cả thông tin bạn cần có thể được tìm thấy trên trang web PCI

Và tôi không nghĩ rằng có nhiều nhà phát triển ở đây, những người biết tiêu chuẩn, tôi cũng vậy.

Tuân thủ PCI là không có gì để chơi với. Nếu bạn muốn điều này, bạn phải chi rất nhiều tiền và bạn cần các chuyên gia.

Có các plugin (ví dụ: công ty bảo mật Foregenix có một plugin thực hiện ghi nhật ký, giám sát thay đổi tệp và một số thứ khác) có thể giúp đưa một số điều khiển PCI vào vị trí nhanh chóng và đơn giản. Nhưng nếu bạn đang tìm kiếm con đường dễ nhất từ ​​góc độ tuân thủ, bạn thực sự nên xem xét sử dụng trang thanh toán được lưu trữ từ cổng thanh toán của mình. Điều này sẽ cho phép bạn sử dụng SAQ A-EP (miễn là bạn không cố gắng làm điều gì đó khác với trang thanh toán được lưu trữ thông thường).