Соответствие требованиям Magento CE PCI

22

Какие шаги необходимо предпринять для достижения соответствия PCI для Magento CE?

Например, использование платежей через веб-сайт PayPal Pro или Sage Pay Direct в магазине поможет достичь соответствия PCI?

blakcaps
источник
Вы должны зашифровать все данные «PCIish» способом. Для проверки соответствия PCI стоит много денег. а зачем тебе это? Используйте EE :-)
Фабиан Блехшмидт
Если вы хотите избежать потенциальных трудностей, используйте вместо этого способ оплаты на хостинге. Как сервер SagePay или стандарт PayPal.
Бен Лессани - Сонасси

Ответы:

15

Нет никаких причин, почему CE не может быть PCI-совместимым

Это всегда считалось PCI-совместимым - пока не появилось EE, тогда EE понадобился еще один USP. Пока вы не сохраняете данные CC - не требуется шифрование других данных (имя / адрес клиента и т. Д.).

Но имейте в виду, что соответствие требованиям PCI - это такое же требование на стороне приложения, как и набор правил и определений для управления вашей компанией и обработки конфиденциальной информации.

SAQ

На какой уровень соответствия вы попадете, будет зависеть то, что вам нужно сделать для обеспечения соответствия PCI. Если SAQ (вопросник для самооценки) подходит для размера вашего бизнеса, то вы можете пройти без помощи CE - при использовании внешнего метода оплаты (например, описанного).

В противном случае, выше уровня SAQ - вам все равно понадобится QSA - и вы говорите большие деньги с профессиональной помощью. Тот факт, что вы спрашиваете здесь, вероятно, оговаривает, что вы не находитесь за этой границей.

Скорее всего, вы попадете под SAQ-D

Как вы принимаете платежные карты?

A. Продавцы, не предъявившие карты (электронная коммерция или заказ по почте / телефону), все функции данных держателя карты были переданы на аутсорсинг. Это никогда не будет применяться к торговцам лицом к лицу.

B. Торговцы только для выходных данных без хранения данных о держателях электронных карт или автономные продавцы с коммутируемым терминалом без хранения данных о владельцах электронных карточек.

С-ВТ. Продавцы, использующие только виртуальные веб-терминалы, не хранят данные о держателях электронных карт.

C. Продавцы с платежными системами, подключенными к Интернету, без электронного хранилища данных.

D. Все остальные продавцы, не включенные в описания SAQ-типов от A до C выше, а также все поставщики услуг, определенные платежным брендом как имеющие право на выполнение SAQ.

См. Https://www.pcisecuritystandards.org/smb/what_to_secure.html.

Торговец / Уровень транзакции

  1. Продавцы, обрабатывающие более 6 миллионов транзакций Visa в год (по всем каналам) или Глобальные продавцы, идентифицированные как Уровень 1 в любом регионе Visa 2
  2. Торговцы, обрабатывающие от 1 до 6 миллионов транзакций Visa в год (все каналы)
  3. Торговцы, обрабатывающие от 20 000 до 1 миллиона транзакций электронной торговли Visa в год
  4. Торговцы, обрабатывающие менее 20 000 транзакций электронной торговли Visa в год, а все остальные продавцы, обрабатывающие до 1 миллиона транзакций Visa в год.

См. Http://usa.visa.com/merchants/risk_management/cisp_merchants.html.


Важно различать уровень торговца и уровень SAQ. Они отдельные. Вы можете быть SAQ-D как торговец 2-го уровня. Фактически, в большинстве случаев вы можете самостоятельно оценить уровень 2 до уровня SAQ-D - поскольку требования более смягчены, поскольку вы вообще не обрабатываете данные карты.


Простое использование EE не делает вас PCI-совместимым, точно так же, как использование хоста, соответствующего PCI, не делает вас PCI-совместимым. Ваш бизнес в целом (приложение, бизнес / персонал, хостинг) должен соответствовать PCI.

Бен Лессани - Сонасси
источник
2

Уровень PCI, которому вы должны соответствовать, зависит от того, сколько транзакций вы собираетесь иметь. В качестве первого шага вы должны решить, какой уровень будет применяться к вам:

  1. Любой продавец - независимо от канала приема - обрабатывает более 6 миллионов транзакций Visa в год. Любой продавец, которого Visa по своему усмотрению определяет, должен соответствовать требованиям продавца 1-го уровня, чтобы минимизировать риск для системы Visa.
  2. Любой продавец - независимо от канала приема - обрабатывает от 1 до 6 миллионов транзакций Visa в год.
  3. Любой продавец, обрабатывающий от 20 000 до 1 млн транзакций электронной торговли Visa в год.
  4. Любой продавец обрабатывает менее 20 000 транзакций электронной торговли Visa в год, а все остальные продавцы - независимо от канала приема - обрабатывают до 1 млн транзакций Visa в год.

http://usa.visa.com/merchants/risk_management/cisp_merchants.html это от VISA, но также применимо к PCI

С каждым уровнем у вас будут разные требования. После того, как вы пройдете оценку, я уверен, что кто-то сможет дать вам более подробный ответ о том, какие шаги предпринять с CE.

Кристоф в Фуман
источник
1

Enterprise Edition поставляется с приложением, которое называется Payment Bridge, которое имеет очень хороший уровень шифрования и может быть запущено на отдельном сервере, чем ваше приложение. Это может быть чрезмерным уничтожением для большинства контекстов и требует готовности изолировать и отлаживать код приложения в ОО-организации, за которой не так легко следить, как с кодом Magento Core.

У соответствия PCI есть много мелких нюансов, которые фактически делают CE не полностью PCI-совместимым. Самый быстрый и зачастую лучший способ быть PCI-совместимым в CE - это использовать стороннюю систему шлюза оплаты токенизации. Есть несколько расширений, которые уже интегрировали Authorize.net CIM или Cybersource Payment Profiles и некоторые другие. Это означает, что при правильной реализации все, что вы когда-либо сохраняете, - это ID профиля клиента, а данные кредитной карты хранятся на платежном шлюзе.

При этом я не думаю, что в вашем вопросе четко указана информация, которую вы хотите сохранить о транзакции, которую вы хотите улучшить для соответствия требованиям PCI. Без дополнительной информации трудно помочь решить архитектуру вашего конкретного требования с какой-либо спецификой.

mprototype
источник
Re: sonassi Ваш ответ неверный CE считался PCI-совместимым до тех пор, пока правила соответствия PCI не изменятся в 2010 году и CE больше не будет соответствовать требованиям.
mprototype
ОП было совершенно ясно, что они не обрабатывают и не хранят информацию о держателях карт, они полагаются на внешние службы для сбора и обработки платежей. Любое приложение может быть PCI-совместимым, включая CE, без какой-либо тяжелой работы, если вы фактически не храните данные держателя карты. Но соответствие PCI - это не только программное обеспечение, которое вы используете. Все дело в практике и внедрении компании.
Бен Лессани - Сонасси
Хорошее голосование вниз ... Я также сказал, что CE может быть послушным ... но это не из коробки, и да, бизнес-процесс тоже важен, но я полагаю, что вы не отдадите должное хорошей оценке в ответ, даже если мой точка зрения конфликтует с вашей и случается, чтобы обсудить решения некоторых проблем, если предпринимаются усилия по соблюдению PCI, чего не было в вашем ответе. Я также не видел ни упоминания о платежном мосте, ни о том, что платежный мост выполняет в отношении соответствия PCI в вашем ответе. И я поддерживаю свое заявление ... утверждение о том, что соответствие CE требованиям PCI было и никогда не менялось, является ошибкой. требования изменились
mprototype
1
ОП никогда не проявлял интереса к ЭЭ. Этот вопрос о СЕ. CE не сертифицирован PA-DSS , но это не то же самое, что PCI-совместимость. Собственно, вы не можете хранить данные CC по PCI с CE - но OP никогда не собирался это делать.
Бен Лессани - Сонасси
0

Я думаю, что обычно есть два пути:

  1. Вы не хотите делать это самостоятельно, потому что вы небольшой магазин, тогда вам следует остаться в СЕ и обратиться к поставщику платежей, чтобы сделать это за вас.

  2. Вы большая компания, ожидаете много сделок и хотите сделать это самостоятельно. Тогда у вас должно быть достаточно денег, чтобы использовать EE.

СТАРЫЙ ОТВЕТ:

Вы должны зашифровать все данные кредитной карты (благодаря @sonassi) «PCIish» и многое другое. Для проверки соответствия PCI стоит много денег. а зачем тебе это? Используйте EE :-)

Всю необходимую информацию можно найти на сайте PCI

И я не думаю, что здесь много разработчиков, которые знают стандарт, я тоже.

С соответствием PCI нечего играть. Если вы хотите этого, вы должны потратить много денег, и вам нужны специалисты.

Фабиан Блехшмидт
источник
Вам не нужно ничего шифровать, кроме данных держателя карты .
Бен Лессани - Сонасси
Я не думаю, что рекомендация EE когда-либо оправдана в попытке соответствовать PCI-соответствию - даже если OP сохранял детали CC (а это не так).
Бен Лессани - Сонасси
0

Существуют плагины (например, у компании Foregenix, занимающейся безопасностью, есть такие, которые ведут журналирование, мониторинг изменений файлов и некоторые другие), которые могут помочь быстро и просто внедрить некоторые элементы управления PCI. Но если вы хотите выбрать самый простой путь с точки зрения соблюдения нормативных требований, вам следует рассмотреть возможность использования размещенной платежной страницы из своего платежного шлюза. Это позволит вам использовать SAQ A-EP (если вы не пытаетесь сделать что-то отличное от обычной размещенной на странице оплаты).

ZWE
источник