Magento CE PCI Compliance

ขั้นตอนที่ต้องดำเนินการเพื่อให้ได้มาตรฐาน PCI สำหรับ Magento CE คืออะไร

ตัวอย่างเช่นการใช้การชำระเงินผ่านเว็บไซต์ Paypal หรือการชำระเงินด้วยปัญญาชนโดยตรงในร้านค้าจะช่วยให้บรรลุมาตรฐาน PCI?

ไม่มีเหตุผลใดที่ CE ไม่สามารถเป็นมาตรฐาน PCI ได้

มันได้รับการยกย่องเสมอว่าเป็นมาตรฐาน PCI - จนกระทั่ง EE เข้ามาแล้ว EE ต้องการ USP อื่น ตราบใดที่คุณไม่ได้เก็บรายละเอียด CC - ไม่มีข้อกำหนดสำหรับการเข้ารหัสข้อมูลอื่น ๆ (ชื่อลูกค้า / ที่อยู่ ฯลฯ )

แต่โปรดจำไว้ว่า PCI Compliance นั้นเป็นข้อกำหนดด้านแอปพลิเคชันมากพอ ๆ กับชุดของกฎและคำจำกัดความสำหรับการใช้งาน บริษัท ของคุณและจัดการกับข้อมูลที่ละเอียดอ่อน

SAQ

ระดับการปฏิบัติตามที่คุณใช้จะกำหนดสิ่งที่คุณต้องทำเพื่อให้มั่นใจว่าเป็นไปตามมาตรฐาน PCI หาก SAQ (แบบสอบถามการประเมินตนเอง) เหมาะสมกับขนาดธุรกิจของคุณคุณสามารถผ่านการรับชำระเงินกับ CE ได้ - เมื่อใช้วิธีการชำระเงินภายนอก (เช่นที่อธิบายไว้)

มิฉะนั้นเหนือระดับ SAQ - คุณจะต้องมี QSA อยู่แล้ว - และคุณกำลังพูดถึงเงินจำนวนมากด้วยความช่วยเหลือจากผู้เชี่ยวชาญ ความจริงที่คุณถามที่นี่อาจทำให้คุณไม่ได้อยู่ในขอบเขตนี้

คุณน่าจะตกอยู่ภายใต้SAQ-D

คุณรับบัตรชำระเงินได้อย่างไร

A. พ่อค้าที่ไม่ใช้บัตร (อีคอมเมิร์ซหรือสั่งซื้อทางไปรษณีย์ / โทรศัพท์) ฟังก์ชั่นข้อมูลผู้ถือบัตรทั้งหมด สิ่งนี้จะไม่นำไปใช้กับพ่อค้าที่เผชิญหน้า

B. ร้านค้าที่พิมพ์เฉพาะที่ไม่มีที่เก็บข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์หรือร้านค้าที่ต่อเชื่อมออกแบบสแตนด์อโลนที่ไม่มีที่เก็บข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์

C-VT ผู้ค้าที่ใช้เทอร์มินัลเสมือนบนเว็บเท่านั้นไม่มีที่เก็บข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์

C. ผู้ค้าที่มีระบบแอพพลิเคชั่นการชำระเงินที่เชื่อมต่อกับอินเทอร์เน็ตไม่มีที่เก็บข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์

D. ร้านค้าอื่น ๆ ทั้งหมดที่ไม่รวมอยู่ในคำอธิบายสำหรับประเภท SAQ A ถึง C ข้างต้นและผู้ให้บริการทั้งหมดที่กำหนดโดยแบรนด์การชำระเงินมีสิทธิ์ดำเนินการ SAQ

ดูhttps://www.pcisecuritystandards.org/smb/what_to_secure.html

ระดับผู้ค้า / ธุรกรรม

1. ผู้ค้าที่ดำเนินธุรกรรมวีซ่ามากกว่า 6 ล้านรายการต่อปี (ทุกช่องทาง) หรือผู้ค้าทั่วโลกที่ระบุว่าเป็นระดับ 1 ตามภูมิภาคของวีซ่า 2
2. ร้านค้าที่ทำธุรกรรมวีซ่า 1 ล้านถึง 6 ล้านรายการต่อปี (ทุกช่องทาง)
3. พ่อค้าทำธุรกรรมอีคอมเมิร์ซวีซ่าประมาณ 20,000 ถึง 1 ล้านต่อปี
4. ร้านค้าที่ประมวลผลธุรกรรมอีคอมเมิร์ซของวีซ่าน้อยกว่า 20,000 รายต่อปีและร้านค้าอื่น ๆ ทั้งหมดทำธุรกรรมวีซ่าได้สูงสุด 1 ล้านรายการต่อปี

ดูที่http://usa.visa.com/merchants/risk_management/cisp_merchants.html

สิ่งสำคัญคือการแยกความแตกต่างของระดับผู้ค้าและระดับ SAQ พวกเขาแยกกัน คุณสามารถเป็น SAQ-D ในฐานะพ่อค้าระดับ 2 ในความเป็นจริงในกรณีส่วนใหญ่คุณสามารถประเมินตนเองได้ถึงระดับ 2 เมื่ออยู่ในระดับ SAQ-D - เนื่องจากข้อกำหนดมีความผ่อนคลายมากขึ้นเนื่องจากคุณไม่ได้จัดการข้อมูลบัตรเลย

การใช้ EE เพียงอย่างเดียวนั้นไม่ได้ทำให้ PCI Compliant ของคุณเหมือนกับที่ใช้โฮสต์ PCI Compliant ก็ไม่ได้ทำให้ PCI Compliant ของคุณ ธุรกิจของคุณโดยรวม (ใบสมัคร, ธุรกิจ / พนักงาน, โฮสติ้ง) จะต้องเป็นไปตามมาตรฐาน PCI

ระดับ PCI ที่คุณต้องปฏิบัติตามนั้นขึ้นอยู่กับจำนวนธุรกรรมที่คุณน่าจะมี ในขั้นตอนแรกคุณควรกำหนดระดับที่จะใช้กับคุณ:

1. ผู้ค้าใด ๆ - โดยไม่คำนึงถึงช่องทางการยอมรับ - ประมวลผลธุรกรรมวีซ่ามากกว่า 6 ล้านรายการต่อปี ผู้ประกอบการค้าใด ๆ ที่วีซ่าใช้ดุลยพินิจ แต่เพียงผู้เดียวในการพิจารณาควรมีคุณสมบัติตรงตามข้อกำหนดของผู้ค้าระดับ 1 เพื่อลดความเสี่ยงต่อระบบวีซ่า
2. ผู้ค้าใด ๆ - โดยไม่คำนึงถึงช่องทางการยอมรับ - ประมวลผลการทำธุรกรรมวีซ่า 1M ถึง 6M ต่อปี
3. ผู้ค้าที่ดำเนินธุรกรรมอีคอมเมิร์ซอีคอมเมิร์ชวีซ่า 20,000 ถึง 1 ล้านต่อปี
4. ผู้ค้าที่ประมวลผลธุรกรรมอีคอมเมิร์ซน้อยกว่า 20,000 วีซ่าต่อปีและผู้ค้าอื่น ๆ ทั้งหมดโดยไม่คำนึงถึงช่องทางที่ได้รับการยอมรับประมวลผลธุรกรรมวีซ่าสูงสุด 1 ล้านรายการต่อปี

http://usa.visa.com/merchants/risk_management/cisp_merchants.html สิ่งนี้มาจาก VISA แต่จะใช้กับ PCI ในทำนองเดียวกัน

ในแต่ละด่านคุณจะมีความต้องการที่แตกต่างกัน เมื่อคุณทำการประเมินเสร็จสิ้นฉันมั่นใจว่ามีบางคนที่จะสามารถให้คำตอบโดยละเอียดเพิ่มเติมเกี่ยวกับขั้นตอนการดำเนินการกับ CE

Enterprise Editionมาพร้อมกับแอปพลิเคชันที่เรียกว่าPayment Bridgeซึ่งเกี่ยวข้องกับการเข้ารหัสที่ดีมากและสามารถทำงานบนเซิร์ฟเวอร์ที่แยกต่างหากจากแอปพลิเคชันของคุณ สิ่งนี้สามารถฆ่าได้มากเกินไปสำหรับบริบทส่วนใหญ่และต้องการความเต็มใจในการแยกและดีบักรหัสแอปพลิเคชันในองค์กร OO ที่ไม่ง่ายในการติดตามเช่นเดียวกับรหัส Magento Core

การปฏิบัติตาม PCI มีความแตกต่างเล็กน้อยซึ่งทำให้ CE ไม่สอดคล้องกับ PCI อย่างสมบูรณ์ วิธีที่เร็วและบ่อยที่สุดที่จะเป็นไปตามมาตรฐาน PCI บน CE คือการใช้ระบบเกตเวย์ชำระเงินโทเค็นของบุคคลที่สาม มีส่วนขยายบางอย่างที่ได้รวม Authorize.net CIM หรือ Cybersource โปรไฟล์การชำระเงินไว้แล้วและอีกสองสามรายการ ซึ่งหมายความว่าเมื่อดำเนินการอย่างถูกต้องสิ่งที่คุณเคยจัดเก็บคือ profileID สำหรับลูกค้าและข้อมูลบัตรเครดิตจะถูกเก็บไว้ในเกตเวย์การชำระเงิน

ดังที่ได้กล่าวไปแล้วฉันไม่คิดว่าคำถามของคุณจะระบุข้อมูลที่คุณต้องการจัดเก็บอย่างชัดเจนเกี่ยวกับธุรกรรมที่คุณต้องการปรับปรุงเพื่อให้เป็นไปตามมาตรฐาน PCI หากไม่มีข้อมูลเพิ่มเติมมันเป็นเรื่องยากที่จะช่วยแก้ไขสถาปัตยกรรมของความต้องการเฉพาะของคุณด้วยความเฉพาะเจาะจง

ฉันคิดว่าปกติสองวิธี:

1. คุณไม่ต้องการทำด้วยตัวเองเพราะคุณเป็นร้านค้าเล็ก ๆ คุณควรอยู่กับ CE และใช้ผู้ให้บริการชำระเงินเพื่อทำสิ่งนี้เพื่อคุณ

2. คุณเป็น บริษัท ใหญ่และคาดหวังการทำธุรกรรมมากมายและต้องการทำด้วยตัวเอง จากนั้นคุณควรมีเงินเพียงพอที่จะใช้ EE

คำตอบเดิม:

คุณต้องเข้ารหัสข้อมูลบัตรเครดิตทั้งหมด (ขอบคุณ @sonassi) ด้วยวิธี "PCIish" และอีกมากมาย เพื่อตรวจสอบค่าใช้จ่ายในการปฏิบัติตาม PCI afaik เงินจำนวนมาก ทำไมคุณต้องการสิ่งนี้ ใช้ EE :-)

ข้อมูลทั้งหมดที่คุณต้องการสามารถพบได้บนเว็บไซต์ PCI

และฉันไม่คิดว่าจะมีนักพัฒนาจำนวนมากที่นี่ที่รู้มาตรฐานฉันไม่

การปฏิบัติตาม PCI นั้นไม่ได้มีไว้ให้เล่น หากคุณต้องการสิ่งนี้คุณต้องใช้เงินเป็นจำนวนมากและคุณต้องการผู้เชี่ยวชาญ

มีปลั๊กอิน (เช่น บริษัท รักษาความปลอดภัย Foregenix มีสิ่งหนึ่งที่ทำการบันทึกการตรวจสอบการเปลี่ยนแปลงไฟล์และสิ่งอื่น ๆ ) ที่สามารถช่วยให้ตัวควบคุม PCI บางตัวทำงานได้อย่างรวดเร็วและง่ายดาย แต่หากคุณกำลังมองหาเส้นทางที่ง่ายที่สุดจากมุมมองการปฏิบัติตามกฎระเบียบคุณควรพิจารณาใช้หน้าการชำระเงินที่โฮสต์จากเกตเวย์การชำระเงินของคุณ วิธีนี้จะช่วยให้คุณใช้ SAQ A-EP (ตราบใดที่คุณไม่ได้พยายามทำสิ่งที่แตกต่างจากหน้าการชำระเงินที่โฮสต์โดยทั่วไป)