Conformidad PCI Magento CE

22

¿Cuáles son los pasos que deben seguirse para lograr el cumplimiento de PCI para Magento CE?

Por ejemplo, el uso de los pagos del sitio web de Paypal pro o sage pay direct en una tienda ayudaría a lograr el cumplimiento de PCI?

payment-gateway blakcaps
fuente
Debe cifrar todos los datos de forma "PCIish". Verificar el cumplimiento de PCI cuesta mucho dinero. ¿Por qué quieres esto? Use EE :-)
Fabian Blechschmidt
Si desea evitar posibles dificultades, utilice un método de pago alojado. Como el servidor SagePay o el estándar de PayPal.
Ben Lessani - Sonassi

Respuestas:

15

No hay ninguna razón por la cual CE no puede ser compatible con PCI

Siempre se consideró que cumplía con PCI: hasta que apareció EE, EE necesitaba otro USP. Mientras no esté almacenando los detalles de CC, no es necesario cifrar otros datos (nombre / dirección del cliente, etc.).

Pero tenga en cuenta que el cumplimiento de PCI es tanto un requisito del lado de la aplicación como un conjunto de reglas y definiciones para administrar su empresa y manejar información confidencial.

SAQ

El nivel de cumplimiento en el que se encuentre determinará lo que debe hacer para garantizar el cumplimiento de PCI. Si el SAQ (cuestionario de autoevaluación) es adecuado para el tamaño de su negocio, puede pasarlo sin ayuda de CE, cuando utilice un método de pago externo (como los descritos).

De lo contrario, por encima de los niveles de SAQ, necesitará un QSA de todos modos, y está hablando de mucho dinero con asistencia profesional. El hecho de que estés preguntando aquí probablemente estipula que no estás en este límite.

Probablemente caerías bajo SAQ-D

¿Cómo se aceptan las tarjetas de pago?

A. Comerciantes de tarjetas no presentes (comercio electrónico o pedidos por correo / teléfono), todas las funciones de datos del titular de la tarjeta se subcontratan. Esto nunca se aplicaría a los comerciantes cara a cara.

B. Comerciantes que solo imprimen sin almacenamiento electrónico de datos del titular de la tarjeta, o comerciantes independientes con terminal de marcación sin almacenamiento electrónico de datos del titular de la tarjeta.

C-VT. Comerciantes que utilizan solo terminales virtuales basados ​​en la web, sin almacenamiento electrónico de datos del titular de la tarjeta.

C. Comerciantes con sistemas de aplicación de pago conectados a Internet, sin almacenamiento electrónico de datos del titular de la tarjeta.

D. Todos los demás comerciantes no incluidos en las descripciones de SAQ tipos A a C anteriores, y todos los proveedores de servicios definidos por una marca de pago como elegibles para completar un SAQ.

Ver https://www.pcisecuritystandards.org/smb/what_to_secure.html

Comerciante / Nivel de transacción

  1. Comerciantes que procesan más de 6 millones de transacciones de Visa anualmente (todos los canales) o comerciantes globales identificados como Nivel 1 por cualquier región de Visa 2
  2. Comerciantes que procesan de 1 millón a 6 millones de transacciones de Visa anualmente (todos los canales)
  3. Comerciantes que procesan de 20,000 a 1 millón de transacciones de comercio electrónico de Visa anualmente
  4. Comerciantes que procesan menos de 20,000 transacciones de comercio electrónico de Visa anualmente y todos los demás comerciantes que procesan hasta 1 millón de transacciones de Visa anualmente

Ver http://usa.visa.com/merchants/risk_management/cisp_merchants.html

Lo importante es diferenciar el nivel de comerciante y el nivel de SAQ. Están separados Puedes ser SAQ-D como comerciante de nivel 2. De hecho, en la mayoría de los casos puede autoevaluarse hasta el Nivel 2 cuando está en el nivel SAQ-D, ya que los requisitos son más relajados porque no está manejando los datos de la tarjeta.

El simple hecho de usar EE no lo hace compatible con PCI, de la misma manera que usar un host compatible con PCI no lo hace compatible con PCI. Toda su empresa (aplicación, empresa / personal, hosting) debe ser compatible con PCI.

Ben Lessani - Sonassi
fuente
2

El nivel de PCI que debe cumplir depende de cuántas transacciones es probable que tenga. Como primer paso, debe determinar qué nivel se aplicaría a usted:

  1. Cualquier comerciante, independientemente del canal de aceptación, procesa más de 6 millones de transacciones Visa por año. Cualquier comerciante que Visa, a su exclusivo criterio, determine, debe cumplir con los requisitos de comerciante de Nivel 1 para minimizar el riesgo para el sistema Visa.
  2. Cualquier comerciante, independientemente del canal de aceptación, procesa transacciones de 1M a 6M Visa por año.
  3. Cualquier comerciante que procese de 20,000 a 1M transacciones de comercio electrónico Visa por año.
  4. Cualquier comerciante que procese menos de 20,000 transacciones de comercio electrónico de Visa por año, y todos los demás comerciantes, independientemente del canal de aceptación, procesen hasta 1 millón de transacciones de Visa por año.

http://usa.visa.com/merchants/risk_management/cisp_merchants.html esto es de VISA pero se aplicaría de manera similar a PCI

Con cada nivel tendrás diferentes requisitos que cumplir. Una vez que haya realizado la evaluación, estoy seguro de que alguien podrá darle una respuesta más detallada sobre los pasos a seguir con CE.

Kristof en Fooman
fuente
1

Enterprise Edition viene con una aplicación llamada Payment Bridge que trata con una cantidad realmente buena de encriptación y puede ejecutarse en un servidor separado que su aplicación. Esto puede ser excesivo para la mayoría de los contextos, y requiere la voluntad de aislar y depurar el código de la aplicación en una organización OO que no es tan fácil de seguir como el código Magento Core.

El cumplimiento de PCI tiene muchos pequeños matices que realmente hacen que CE no sea totalmente compatible con PCI. La forma más rápida y, a menudo, la mejor, de cumplir con PCI en CE es utilizar un sistema de pasarela de pago de tokenización de terceros. Hay algunas extensiones que ya tienen integrado Authorize.net CIM, o Cybersource Payment Profiles, y algunas otras. Esto significa que cuando se implementa correctamente, todo lo que almacena es el ID de perfil para el cliente y los datos de la tarjeta de crédito se almacenan en la pasarela de pago.

Dicho esto, no creo que su pregunta indique claramente la información que desea almacenar sobre la transacción que desea mejorar para cumplir con el cumplimiento de PCI. Sin más información, es difícil ayudar a resolver la arquitectura de sus requisitos particulares con alguna especificidad.

mprototype
fuente
Re: sonassi su respuesta es incorrecta CE se consideró compatible con PCI hasta que las reglas de cumplimiento de PCI cambien en 2010 y CE ya no cumpla con los requisitos.
mprototype
El OP dejó bastante claro que no están procesando ni almacenando ninguna información del titular de la tarjeta, sino que dependen de servicios externos para capturar y procesar pagos. Cualquier aplicación puede ser compatible con PCI, CE incluido, sin ningún trabajo duro, siempre que no esté almacenando datos del titular de la tarjeta. Pero el cumplimiento de PCI no es solo el software que está utilizando. Se trata de prácticas e implementación de la compañía.
Ben Lessani - Sonassi
Buen voto hacia abajo ... También dije que CE puede ser compatible ... pero no está listo para usar, y sí, el proceso de negocios también es importante, pero supongo que no da crédito por el buen valor en una respuesta, incluso si mi El punto de vista entra en conflicto con el tuyo y pasa a discutir soluciones a algunos de los problemas en caso de que se realicen esfuerzos de cumplimiento de PCI que no respondieron. Tampoco vi ninguna mención de Payment Bridge ni lo que Payment Bridge logra para cumplir con PCI en su respuesta. Y mantengo mi declaración ... la afirmación de que el cumplimiento de PCI de CE estuvo allí y nunca cambió es una falacia. los requisitos cambiaron
mprototype
1
El OP nunca mostró interés en EE. Esta pregunta es sobre CE. CE no tiene certificación PA-DSS , pero eso no es lo mismo que PCI. Nativamente, no puede almacenar datos CC de una manera PCI con CE, pero el OP nunca tuvo la intención de hacerlo.
Ben Lessani - Sonassi
0

Creo que normalmente son dos formas:

  1. No desea hacerlo usted mismo, ya que es una tienda pequeña, entonces debe quedarse con el CE y usar un proveedor de pagos para hacer esto piensa por usted

  2. Eres una gran empresa y esperas muchas transacciones y quieres hacerlo tú mismo. Entonces deberías tener suficiente dinero para usar EE.

ANTIGUA RESPUESTA:

Debe cifrar todos los datos de la tarjeta de crédito (gracias a @sonassi) de forma "PCIish" y mucho más. Verificar el cumplimiento de PCI cuesta afaik mucho dinero. ¿Por qué quieres esto? Usa el EE :-)

Toda la información que necesita se puede encontrar en el sitio web de PCI

Y no creo que haya muchos desarrolladores aquí, que conozcan el estándar, yo tampoco.

El cumplimiento de PCI no es nada con lo que jugar. Si quieres esto, tienes que gastar mucho dinero y necesitas expertos.

Fabian Blechschmidt
fuente
No necesita cifrar nada más que Detalles del titular de la tarjeta .
Ben Lessani - Sonassi
No creo que una recomendación de EE esté justificada en un intento de cumplir con el Cumplimiento de PCI, incluso si el OP estaba guardando detalles de CC (que no lo son).
Ben Lessani - Sonassi
0

Existen complementos (p. Ej., La compañía de seguridad Foregenix tiene uno que realiza el registro, el monitoreo de cambios de archivos y algunas otras cosas) que pueden ayudar a implementar algunos de los controles PCI de manera rápida y sencilla. Pero si está buscando tomar el camino más fácil desde una perspectiva de cumplimiento, debería considerar usar una página de pago alojada desde su pasarela de pago. Esto le permitirá usar SAQ A-EP (siempre que no esté tratando de hacer algo diferente de la página de pago alojada ordinaria).

ZWE
fuente