Magento CE PCI Compliance


22

ขั้นตอนที่ต้องดำเนินการเพื่อให้ได้มาตรฐาน PCI สำหรับ Magento CE คืออะไร

ตัวอย่างเช่นการใช้การชำระเงินผ่านเว็บไซต์ Paypal หรือการชำระเงินด้วยปัญญาชนโดยตรงในร้านค้าจะช่วยให้บรรลุมาตรฐาน PCI?


คุณต้องเข้ารหัสข้อมูลทั้งหมดด้วยวิธี "PCIish" เพื่อตรวจสอบค่าใช้จ่ายในการปฏิบัติตาม PCI afaik เงินจำนวนมาก ทำไมคุณต้องการสิ่งนี้ ใช้ EE :-)
Fabian Blechschmidt

หากคุณต้องการหลีกเลี่ยงปัญหาที่อาจเกิดขึ้นให้ใช้วิธีการชำระเงินที่โฮสต์แทน เช่นเดียวกับเซิร์ฟเวอร์ SagePay หรือมาตรฐาน PayPal
Ben Lessani - Sonassi

คำตอบ:


15

ไม่มีเหตุผลใดที่ CE ไม่สามารถเป็นมาตรฐาน PCI ได้

มันได้รับการยกย่องเสมอว่าเป็นมาตรฐาน PCI - จนกระทั่ง EE เข้ามาแล้ว EE ต้องการ USP อื่น ตราบใดที่คุณไม่ได้เก็บรายละเอียด CC - ไม่มีข้อกำหนดสำหรับการเข้ารหัสข้อมูลอื่น ๆ (ชื่อลูกค้า / ที่อยู่ ฯลฯ )

แต่โปรดจำไว้ว่า PCI Compliance นั้นเป็นข้อกำหนดด้านแอปพลิเคชันมากพอ ๆ กับชุดของกฎและคำจำกัดความสำหรับการใช้งาน บริษัท ของคุณและจัดการกับข้อมูลที่ละเอียดอ่อน

SAQ

ระดับการปฏิบัติตามที่คุณใช้จะกำหนดสิ่งที่คุณต้องทำเพื่อให้มั่นใจว่าเป็นไปตามมาตรฐาน PCI หาก SAQ (แบบสอบถามการประเมินตนเอง) เหมาะสมกับขนาดธุรกิจของคุณคุณสามารถผ่านการรับชำระเงินกับ CE ได้ - เมื่อใช้วิธีการชำระเงินภายนอก (เช่นที่อธิบายไว้)

มิฉะนั้นเหนือระดับ SAQ - คุณจะต้องมี QSA อยู่แล้ว - และคุณกำลังพูดถึงเงินจำนวนมากด้วยความช่วยเหลือจากผู้เชี่ยวชาญ ความจริงที่คุณถามที่นี่อาจทำให้คุณไม่ได้อยู่ในขอบเขตนี้

คุณน่าจะตกอยู่ภายใต้SAQ-D

คุณรับบัตรชำระเงินได้อย่างไร

A. พ่อค้าที่ไม่ใช้บัตร (อีคอมเมิร์ซหรือสั่งซื้อทางไปรษณีย์ / โทรศัพท์) ฟังก์ชั่นข้อมูลผู้ถือบัตรทั้งหมด สิ่งนี้จะไม่นำไปใช้กับพ่อค้าที่เผชิญหน้า

B. ร้านค้าที่พิมพ์เฉพาะที่ไม่มีที่เก็บข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์หรือร้านค้าที่ต่อเชื่อมออกแบบสแตนด์อโลนที่ไม่มีที่เก็บข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์

C-VT ผู้ค้าที่ใช้เทอร์มินัลเสมือนบนเว็บเท่านั้นไม่มีที่เก็บข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์

C. ผู้ค้าที่มีระบบแอพพลิเคชั่นการชำระเงินที่เชื่อมต่อกับอินเทอร์เน็ตไม่มีที่เก็บข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์

D. ร้านค้าอื่น ๆ ทั้งหมดที่ไม่รวมอยู่ในคำอธิบายสำหรับประเภท SAQ A ถึง C ข้างต้นและผู้ให้บริการทั้งหมดที่กำหนดโดยแบรนด์การชำระเงินมีสิทธิ์ดำเนินการ SAQ

ดูhttps://www.pcisecuritystandards.org/smb/what_to_secure.html

ระดับผู้ค้า / ธุรกรรม

  1. ผู้ค้าที่ดำเนินธุรกรรมวีซ่ามากกว่า 6 ล้านรายการต่อปี (ทุกช่องทาง) หรือผู้ค้าทั่วโลกที่ระบุว่าเป็นระดับ 1 ตามภูมิภาคของวีซ่า 2
  2. ร้านค้าที่ทำธุรกรรมวีซ่า 1 ล้านถึง 6 ล้านรายการต่อปี (ทุกช่องทาง)
  3. พ่อค้าทำธุรกรรมอีคอมเมิร์ซวีซ่าประมาณ 20,000 ถึง 1 ล้านต่อปี
  4. ร้านค้าที่ประมวลผลธุรกรรมอีคอมเมิร์ซของวีซ่าน้อยกว่า 20,000 รายต่อปีและร้านค้าอื่น ๆ ทั้งหมดทำธุรกรรมวีซ่าได้สูงสุด 1 ล้านรายการต่อปี

ดูที่http://usa.visa.com/merchants/risk_management/cisp_merchants.html


สิ่งสำคัญคือการแยกความแตกต่างของระดับผู้ค้าและระดับ SAQ พวกเขาแยกกัน คุณสามารถเป็น SAQ-D ในฐานะพ่อค้าระดับ 2 ในความเป็นจริงในกรณีส่วนใหญ่คุณสามารถประเมินตนเองได้ถึงระดับ 2 เมื่ออยู่ในระดับ SAQ-D - เนื่องจากข้อกำหนดมีความผ่อนคลายมากขึ้นเนื่องจากคุณไม่ได้จัดการข้อมูลบัตรเลย


การใช้ EE เพียงอย่างเดียวนั้นไม่ได้ทำให้ PCI Compliant ของคุณเหมือนกับที่ใช้โฮสต์ PCI Compliant ก็ไม่ได้ทำให้ PCI Compliant ของคุณ ธุรกิจของคุณโดยรวม (ใบสมัคร, ธุรกิจ / พนักงาน, โฮสติ้ง) จะต้องเป็นไปตามมาตรฐาน PCI


2

ระดับ PCI ที่คุณต้องปฏิบัติตามนั้นขึ้นอยู่กับจำนวนธุรกรรมที่คุณน่าจะมี ในขั้นตอนแรกคุณควรกำหนดระดับที่จะใช้กับคุณ:

  1. ผู้ค้าใด ๆ - โดยไม่คำนึงถึงช่องทางการยอมรับ - ประมวลผลธุรกรรมวีซ่ามากกว่า 6 ล้านรายการต่อปี ผู้ประกอบการค้าใด ๆ ที่วีซ่าใช้ดุลยพินิจ แต่เพียงผู้เดียวในการพิจารณาควรมีคุณสมบัติตรงตามข้อกำหนดของผู้ค้าระดับ 1 เพื่อลดความเสี่ยงต่อระบบวีซ่า
  2. ผู้ค้าใด ๆ - โดยไม่คำนึงถึงช่องทางการยอมรับ - ประมวลผลการทำธุรกรรมวีซ่า 1M ถึง 6M ต่อปี
  3. ผู้ค้าที่ดำเนินธุรกรรมอีคอมเมิร์ซอีคอมเมิร์ชวีซ่า 20,000 ถึง 1 ล้านต่อปี
  4. ผู้ค้าที่ประมวลผลธุรกรรมอีคอมเมิร์ซน้อยกว่า 20,000 วีซ่าต่อปีและผู้ค้าอื่น ๆ ทั้งหมดโดยไม่คำนึงถึงช่องทางที่ได้รับการยอมรับประมวลผลธุรกรรมวีซ่าสูงสุด 1 ล้านรายการต่อปี

http://usa.visa.com/merchants/risk_management/cisp_merchants.html สิ่งนี้มาจาก VISA แต่จะใช้กับ PCI ในทำนองเดียวกัน

ในแต่ละด่านคุณจะมีความต้องการที่แตกต่างกัน เมื่อคุณทำการประเมินเสร็จสิ้นฉันมั่นใจว่ามีบางคนที่จะสามารถให้คำตอบโดยละเอียดเพิ่มเติมเกี่ยวกับขั้นตอนการดำเนินการกับ CE


1

Enterprise Editionมาพร้อมกับแอปพลิเคชันที่เรียกว่าPayment Bridgeซึ่งเกี่ยวข้องกับการเข้ารหัสที่ดีมากและสามารถทำงานบนเซิร์ฟเวอร์ที่แยกต่างหากจากแอปพลิเคชันของคุณ สิ่งนี้สามารถฆ่าได้มากเกินไปสำหรับบริบทส่วนใหญ่และต้องการความเต็มใจในการแยกและดีบักรหัสแอปพลิเคชันในองค์กร OO ที่ไม่ง่ายในการติดตามเช่นเดียวกับรหัส Magento Core

การปฏิบัติตาม PCI มีความแตกต่างเล็กน้อยซึ่งทำให้ CE ไม่สอดคล้องกับ PCI อย่างสมบูรณ์ วิธีที่เร็วและบ่อยที่สุดที่จะเป็นไปตามมาตรฐาน PCI บน CE คือการใช้ระบบเกตเวย์ชำระเงินโทเค็นของบุคคลที่สาม มีส่วนขยายบางอย่างที่ได้รวม Authorize.net CIM หรือ Cybersource โปรไฟล์การชำระเงินไว้แล้วและอีกสองสามรายการ ซึ่งหมายความว่าเมื่อดำเนินการอย่างถูกต้องสิ่งที่คุณเคยจัดเก็บคือ profileID สำหรับลูกค้าและข้อมูลบัตรเครดิตจะถูกเก็บไว้ในเกตเวย์การชำระเงิน

ดังที่ได้กล่าวไปแล้วฉันไม่คิดว่าคำถามของคุณจะระบุข้อมูลที่คุณต้องการจัดเก็บอย่างชัดเจนเกี่ยวกับธุรกรรมที่คุณต้องการปรับปรุงเพื่อให้เป็นไปตามมาตรฐาน PCI หากไม่มีข้อมูลเพิ่มเติมมันเป็นเรื่องยากที่จะช่วยแก้ไขสถาปัตยกรรมของความต้องการเฉพาะของคุณด้วยความเฉพาะเจาะจง


Re: sonassi คำตอบของคุณไม่ถูกต้อง CE ถือว่าเป็นไปตามมาตรฐาน PCI จนกระทั่งกฎการปฏิบัติตาม PCI เปลี่ยนแปลงในปี 2010 และ CE ไม่ตรงกับข้อกำหนดอีกต่อไป
mprototype

OP ค่อนข้างชัดเจนว่าพวกเขาไม่ได้ประมวลผลหรือจัดเก็บข้อมูลผู้ถือบัตรใด ๆ พวกเขาพึ่งพาบริการภายนอกเพื่อจับและประมวลผลการชำระเงิน แอปพลิเคชันใด ๆ ที่สามารถเข้ากันได้กับ PCI, CE รวมอยู่โดยไม่ต้องทำงานหนักใด ๆ ตราบใดที่คุณไม่ได้เก็บข้อมูลผู้ถือบัตร แต่การปฏิบัติตาม PCI ไม่เพียง แต่เป็นซอฟต์แวร์ที่คุณใช้ มันคือทั้งหมดที่เกี่ยวกับการปฏิบัติของ บริษัท และการใช้งาน
Ben Lessani - Sonassi

โหวตดีลง ... ฉันยังบอกว่า CE สามารถปฏิบัติตามได้ ... แต่ไม่ได้ออกนอกกรอบและใช่กระบวนการ biz ก็มีความสำคัญเช่นกัน แต่ฉันคิดว่าคุณไม่ให้เครดิตสำหรับความคุ้มค่าในการตอบสนองแม้ว่าฉัน มุมมองขัดแย้งกับคุณและเกิดขึ้นเพื่อหารือเกี่ยวกับการแก้ไขปัญหาที่ควรทำตามความพยายามของ PCI ซึ่งการตอบสนองของคุณไม่ได้ ฉันยังไม่เห็นการกล่าวถึงสะพานการชำระเงินและสะพานการชำระเงินใดที่บรรลุผลตามมาตรฐาน PCI ในการตอบสนองของคุณ และฉันยืนหยัดด้วยคำแถลงของฉัน ... การยืนยันว่าการปฏิบัติตาม PCI ของ CE นั้นอยู่ที่นั่นและไม่เคยเปลี่ยนเป็นความเข้าใจผิด ความต้องการเปลี่ยนไป
mprototype

1
OP ไม่เคยแสดงความสนใจใน EE คำถามนี้เกี่ยวกับ CE CE ไม่ได้รับการรับรองPA-DSSแต่ไม่ตรงตามมาตรฐาน PCI โดยพื้นฐานแล้วคุณไม่สามารถจัดเก็บข้อมูล CC ด้วยวิธี PCI กับ CE ได้ แต่ OP ไม่เคยต้องการ
Ben Lessani - Sonassi

0

ฉันคิดว่าปกติสองวิธี:

  1. คุณไม่ต้องการทำด้วยตัวเองเพราะคุณเป็นร้านค้าเล็ก ๆ คุณควรอยู่กับ CE และใช้ผู้ให้บริการชำระเงินเพื่อทำสิ่งนี้เพื่อคุณ

  2. คุณเป็น บริษัท ใหญ่และคาดหวังการทำธุรกรรมมากมายและต้องการทำด้วยตัวเอง จากนั้นคุณควรมีเงินเพียงพอที่จะใช้ EE

คำตอบเดิม:

คุณต้องเข้ารหัสข้อมูลบัตรเครดิตทั้งหมด (ขอบคุณ @sonassi) ด้วยวิธี "PCIish" และอีกมากมาย เพื่อตรวจสอบค่าใช้จ่ายในการปฏิบัติตาม PCI afaik เงินจำนวนมาก ทำไมคุณต้องการสิ่งนี้ ใช้ EE :-)

ข้อมูลทั้งหมดที่คุณต้องการสามารถพบได้บนเว็บไซต์ PCI

และฉันไม่คิดว่าจะมีนักพัฒนาจำนวนมากที่นี่ที่รู้มาตรฐานฉันไม่

การปฏิบัติตาม PCI นั้นไม่ได้มีไว้ให้เล่น หากคุณต้องการสิ่งนี้คุณต้องใช้เงินเป็นจำนวนมากและคุณต้องการผู้เชี่ยวชาญ


คุณไม่จำเป็นต้องเข้ารหัสอื่นใดนอกเหนือจากรายละเอียดผู้ถือบัตร
Ben Lessani - Sonassi

ฉันไม่คิดว่าคำแนะนำ EE จะได้รับการรับประกันในความพยายามที่จะปฏิบัติตามมาตรฐาน PCI - แม้ว่า OP จะบันทึกรายละเอียด CC (ซึ่งไม่ใช่)
Ben Lessani - Sonassi

0

มีปลั๊กอิน (เช่น บริษัท รักษาความปลอดภัย Foregenix มีสิ่งหนึ่งที่ทำการบันทึกการตรวจสอบการเปลี่ยนแปลงไฟล์และสิ่งอื่น ๆ ) ที่สามารถช่วยให้ตัวควบคุม PCI บางตัวทำงานได้อย่างรวดเร็วและง่ายดาย แต่หากคุณกำลังมองหาเส้นทางที่ง่ายที่สุดจากมุมมองการปฏิบัติตามกฎระเบียบคุณควรพิจารณาใช้หน้าการชำระเงินที่โฮสต์จากเกตเวย์การชำระเงินของคุณ วิธีนี้จะช่วยให้คุณใช้ SAQ A-EP (ตราบใดที่คุณไม่ได้พยายามทำสิ่งที่แตกต่างจากหน้าการชำระเงินที่โฮสต์โดยทั่วไป)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.