Я рассматриваю возможность использования eWay в качестве платежного шлюза. Они предлагают два варианта. Один из них состоит в том, чтобы позволить пользователям вводить данные кредитной карты на веб-сайте, размещенном на eWay, а другой - использовать мою собственную форму и отправлять данные кредитной карты через мой сервер в eWays. Второй вариант (their page with details) кажется более подходящим для меня, так как пользователь никогда не покинет мой сайт, и брендинг будет сохранен. Теперь я говорил, чтобы поддержать, и они сказали, что мой сайт будет совместим с PCI, если я использую SSL. Поэтому в основном я могу позволить пользователям предоставлять номера CC на моем сайте и отправлять их в eWays через XML. Пока я не храню конфиденциальные данные, но передаю только это нормально. До сих пор я думал, что пока данные CC попадают на мой сервер, мой сайт должен быть совместим с PCI, но теперь я не уверен. Если бы кто-нибудь мог объяснить мне, как это действительно так, это было бы высоко оценено.с использованием платежного шлюза и соответствия PCI
ответ
Если ваша система обрабатывает данные карты, то она входит в объем PCI и должна соответствовать требованиям PCI.
Вопрос: Кому применяется PCI?
A: PCI распространяется на все организации или продавцов, независимо от размера или числа сделок, что принимает, передает или магазинов любого владельца карты данных. Иначе говоря, если клиент этой организации когда-либо платит торговцу непосредственно с помощью кредитной или дебетовой карты, а затем требования PCI DSS применяются
http://www.pcicomplianceguide.org/pcifaqs.php
Edit; «eWays», поскольку ваш поставщик шлюза - это уровень 1, и его belholden для них, чтобы на самом деле обеспечить совместимость с PCI, поэтому его немного изворотливый, чтобы вы могли использовать SSL с помощью SSL.
Недавно мы осуществили транзакции кредитной карты для сайта электронной торговли с использованием другого поставщика платежных шлюзов. Это то, что мы узнали о соблюдении PCI DSS.
- Если ваше требование бизнеса хранение информации о клиентах с их кредитной картой, то ваш сервер и сеть вокруг него должен быть PCI совместимого
- Однако, если хранение информации о клиентах с данными кредитной карты не является критическим требованием, то вы используете ssl для поставщика платежных шлюзов. Они должны предоставлять средства для настройки формы, чтобы вы могли ее маркировать, чтобы отразить вашу компанию.
Подробные требования PCI DSS можно найти по этой ссылке PCI Data Security Standards
Похоже, вы получили много противоречивых ответов. Я работаю в платежной компании и прошел аудит поставщика услуг уровня 1, и ежедневно я занимаюсь торговцами и их требованиями к PCI, поэтому я думаю, что могу помочь вам разобраться в этом.
Реальность заключается в том, что вы должны быть совместимы с PCI, если принимаете кредитные карты, даже если вы передаете все функции данных держателя карты. Фокус в том, что стандарт, который вам нужно встретить, гораздо менее ограничительный, чем стандарт, который должен выполнить платежный шлюз, - но это не означает, что «PCI не применяется».Вам не нужно разбираться в действительно жестких требованиях к сетевой безопасности, но есть аспекты PCI DSS, которые вы должны соблюдать, и вам необходимо ежегодно проводить аудит самооценки. `
Подробнее о том, в какой части DSS вы должны иметь дело, goto https://www.pcisecuritystandards.org/saq/instructions_dss.shtml и щелкните по ссылке для SAQ Validation Type 1 (Questionnaire A). Это скажет вам, какие именно части PCI DSS вы должны реализовать в качестве торговца со всеми функциями держателей карт, переданными на аутсорсинг.
Надеюсь, что это поможет вам разобраться!
Спасибо Mike :) Не правда ли, что мне нужно получить через SAQ Validation Type 1 (Qeust. A), только если я сохраню бумажные отчеты или квитанции с данными держателей карт? Если у меня этого нет, и не передавайте/не храните ни одну из этих данных, мне не нужно беспокоиться о соблюдении PCI в любой форме? – spirytus
Вам все равно придется сделать самооценку, используя Анкету A, но первая ее часть будет в основном отмечена как N/A для вас. Детали в разделе «Политика защиты информации» по-прежнему применяются. Даже если вам никогда не придется показывать самооценку кому бы то ни было, я бы порекомендовал это сделать и удостоверился в том, что требования политики безопасности IS соблюдены - так вам никогда не придется беспокоиться, если у вашего процессора есть нарушение безопасности, потому что вы удовлетворены ваши требования PCI-DSS и можете избежать любых штрафов, которые могут быть оценены Visa. ИМХО, это просто «лучше, чем жаль». – MikeH
Короче говоря, если вы принимаете платежи (даже если вы полностью передаете их на аутсорсинг), вам необходимо быть совместимым с PCI. Самый большой фактор в определении того, сколько средств контроля безопасности вам необходимо выполнить, - это тип используемого вами платежного шлюза.
Я помог автору white paper for the Drupal community, но концепции применяются по всей доске. Я настоятельно рекомендую прочитать его. И если у вас есть обратная связь, сообщите о проблеме в очереди на выпуск github.
- 1. Интеграция платежного шлюза с IONIC
- 2. Процесс платежного шлюза
- 3. Закрепление платежного шлюза POST
- 4. Ошибка платежного шлюза Alipay?
- 5. Ошибка амперсанда-платежного шлюза
- 6. Выбор платежного шлюза
- 7. Реализация Платежного шлюза
- 8. Интеграция LawPay (платежного шлюза)
- 9. Интеграция платежного шлюза 2checkout с использованием (omnipay payum и symfony)
- 10. Интеграция платежного шлюза в ASP.NET
- 11. Помощь Расшифровка кода платежного шлюза
- 12. Лямбда-интеграция с VPC с платежного шлюза
- 13. Интеграция платежного шлюза в OpenCart
- 14. Модуль платежного шлюза в dotnetnuke
- 15. Ошибка интеграции платежного шлюза с использованием PayMoney в Wordpress?
- 16. Интеграция платежного шлюза с Django-Oscar?
- 17. интеграции МиГи платежного шлюза с сайтом PHP
- 18. CCAvenue интеграция платежного шлюза с рельсами приложением
- 19. PCI Compliance Website Confusion
- 20. Интеграция платежного шлюза adyen с Paypal и iDeal
- 21. Извлечение платежного шлюза из API транзакций Shopify
- 22. Лучший подход к реализации интернационализированного платежного шлюза
- 23. андроид PayPal проблема интеграции платежного шлюза
- 24. Добавление шлюзового платежного шлюза в приложение rails
- 25. Проблема-интеграция авторизированного платежного шлюза в Android
- 26. Magento: Different платежного шлюза для другого магазина
- 27. Как интегрировать FirstData в качестве платежного шлюза?
- 28. Интеграция платежного шлюза «Instamojo» в Laravel 5.1
- 29. добавление платежного шлюза в шлюз WSi2 api
- 30. Хеш в coldfusion для безопасного платежного шлюза
Теперь вот что меня пугает. До сих пор я был достаточно уверен в том, что даже если я не храню информацию о CC, но перенос еще должен сделать мой сайт совместимым с PCI. Это совершенно противоположно тому, что вы говорите, так что это правда? :) – spirytus
Если данные кредитной карты никогда физически не попадают на ваш сервер (включая оперативную память из-за сообщения формы), то PCI-DSS не применяется. Стандарты данных PCI охватывают вашу сетевую безопасность, исправления операционной системы и т. Д. Поскольку они хотят обеспечить конфиденциальность данных карты, они защищены от любого неправильного использования, во время передачи по сети (покрываются с использованием SSL) или хранилища (охватываются шифрованием). В вашем случае вам необходимо убедиться, что данные карты надежно переданы на платежный шлюз после того, как транзакция (SSL) использует форму ssl по умолчанию для вашего платежного шлюза. – inlokesh
@inlokesh: PCI применяется на некотором уровне к любым карточкам обработки торговцев. Это просто намного проще передать, если вы можете сказать, что «никакие карты не касаются нашей системы, это делается с помощью платежного шлюза X». –