ขั้นตอนที่ต้องดำเนินการเพื่อให้ได้มาตรฐาน PCI สำหรับ Magento CE คืออะไร
ตัวอย่างเช่นการใช้การชำระเงินผ่านเว็บไซต์ Paypal หรือการชำระเงินด้วยปัญญาชนโดยตรงในร้านค้าจะช่วยให้บรรลุมาตรฐาน PCI?
ขั้นตอนที่ต้องดำเนินการเพื่อให้ได้มาตรฐาน PCI สำหรับ Magento CE คืออะไร
ตัวอย่างเช่นการใช้การชำระเงินผ่านเว็บไซต์ Paypal หรือการชำระเงินด้วยปัญญาชนโดยตรงในร้านค้าจะช่วยให้บรรลุมาตรฐาน PCI?
คำตอบ:
มันได้รับการยกย่องเสมอว่าเป็นมาตรฐาน PCI - จนกระทั่ง EE เข้ามาแล้ว EE ต้องการ USP อื่น ตราบใดที่คุณไม่ได้เก็บรายละเอียด CC - ไม่มีข้อกำหนดสำหรับการเข้ารหัสข้อมูลอื่น ๆ (ชื่อลูกค้า / ที่อยู่ ฯลฯ )
แต่โปรดจำไว้ว่า PCI Compliance นั้นเป็นข้อกำหนดด้านแอปพลิเคชันมากพอ ๆ กับชุดของกฎและคำจำกัดความสำหรับการใช้งาน บริษัท ของคุณและจัดการกับข้อมูลที่ละเอียดอ่อน
ระดับการปฏิบัติตามที่คุณใช้จะกำหนดสิ่งที่คุณต้องทำเพื่อให้มั่นใจว่าเป็นไปตามมาตรฐาน PCI หาก SAQ (แบบสอบถามการประเมินตนเอง) เหมาะสมกับขนาดธุรกิจของคุณคุณสามารถผ่านการรับชำระเงินกับ CE ได้ - เมื่อใช้วิธีการชำระเงินภายนอก (เช่นที่อธิบายไว้)
มิฉะนั้นเหนือระดับ SAQ - คุณจะต้องมี QSA อยู่แล้ว - และคุณกำลังพูดถึงเงินจำนวนมากด้วยความช่วยเหลือจากผู้เชี่ยวชาญ ความจริงที่คุณถามที่นี่อาจทำให้คุณไม่ได้อยู่ในขอบเขตนี้
คุณน่าจะตกอยู่ภายใต้SAQ-D
คุณรับบัตรชำระเงินได้อย่างไร
A. พ่อค้าที่ไม่ใช้บัตร (อีคอมเมิร์ซหรือสั่งซื้อทางไปรษณีย์ / โทรศัพท์) ฟังก์ชั่นข้อมูลผู้ถือบัตรทั้งหมด สิ่งนี้จะไม่นำไปใช้กับพ่อค้าที่เผชิญหน้า
B. ร้านค้าที่พิมพ์เฉพาะที่ไม่มีที่เก็บข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์หรือร้านค้าที่ต่อเชื่อมออกแบบสแตนด์อโลนที่ไม่มีที่เก็บข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์
C-VT ผู้ค้าที่ใช้เทอร์มินัลเสมือนบนเว็บเท่านั้นไม่มีที่เก็บข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์
C. ผู้ค้าที่มีระบบแอพพลิเคชั่นการชำระเงินที่เชื่อมต่อกับอินเทอร์เน็ตไม่มีที่เก็บข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์
D. ร้านค้าอื่น ๆ ทั้งหมดที่ไม่รวมอยู่ในคำอธิบายสำหรับประเภท SAQ A ถึง C ข้างต้นและผู้ให้บริการทั้งหมดที่กำหนดโดยแบรนด์การชำระเงินมีสิทธิ์ดำเนินการ SAQ
ดูhttps://www.pcisecuritystandards.org/smb/what_to_secure.html
- ผู้ค้าที่ดำเนินธุรกรรมวีซ่ามากกว่า 6 ล้านรายการต่อปี (ทุกช่องทาง) หรือผู้ค้าทั่วโลกที่ระบุว่าเป็นระดับ 1 ตามภูมิภาคของวีซ่า 2
- ร้านค้าที่ทำธุรกรรมวีซ่า 1 ล้านถึง 6 ล้านรายการต่อปี (ทุกช่องทาง)
- พ่อค้าทำธุรกรรมอีคอมเมิร์ซวีซ่าประมาณ 20,000 ถึง 1 ล้านต่อปี
- ร้านค้าที่ประมวลผลธุรกรรมอีคอมเมิร์ซของวีซ่าน้อยกว่า 20,000 รายต่อปีและร้านค้าอื่น ๆ ทั้งหมดทำธุรกรรมวีซ่าได้สูงสุด 1 ล้านรายการต่อปี
ดูที่http://usa.visa.com/merchants/risk_management/cisp_merchants.html
สิ่งสำคัญคือการแยกความแตกต่างของระดับผู้ค้าและระดับ SAQ พวกเขาแยกกัน คุณสามารถเป็น SAQ-D ในฐานะพ่อค้าระดับ 2 ในความเป็นจริงในกรณีส่วนใหญ่คุณสามารถประเมินตนเองได้ถึงระดับ 2 เมื่ออยู่ในระดับ SAQ-D - เนื่องจากข้อกำหนดมีความผ่อนคลายมากขึ้นเนื่องจากคุณไม่ได้จัดการข้อมูลบัตรเลย
การใช้ EE เพียงอย่างเดียวนั้นไม่ได้ทำให้ PCI Compliant ของคุณเหมือนกับที่ใช้โฮสต์ PCI Compliant ก็ไม่ได้ทำให้ PCI Compliant ของคุณ ธุรกิจของคุณโดยรวม (ใบสมัคร, ธุรกิจ / พนักงาน, โฮสติ้ง) จะต้องเป็นไปตามมาตรฐาน PCI
ระดับ PCI ที่คุณต้องปฏิบัติตามนั้นขึ้นอยู่กับจำนวนธุรกรรมที่คุณน่าจะมี ในขั้นตอนแรกคุณควรกำหนดระดับที่จะใช้กับคุณ:
http://usa.visa.com/merchants/risk_management/cisp_merchants.html สิ่งนี้มาจาก VISA แต่จะใช้กับ PCI ในทำนองเดียวกัน
ในแต่ละด่านคุณจะมีความต้องการที่แตกต่างกัน เมื่อคุณทำการประเมินเสร็จสิ้นฉันมั่นใจว่ามีบางคนที่จะสามารถให้คำตอบโดยละเอียดเพิ่มเติมเกี่ยวกับขั้นตอนการดำเนินการกับ CE
Enterprise Editionมาพร้อมกับแอปพลิเคชันที่เรียกว่าPayment Bridgeซึ่งเกี่ยวข้องกับการเข้ารหัสที่ดีมากและสามารถทำงานบนเซิร์ฟเวอร์ที่แยกต่างหากจากแอปพลิเคชันของคุณ สิ่งนี้สามารถฆ่าได้มากเกินไปสำหรับบริบทส่วนใหญ่และต้องการความเต็มใจในการแยกและดีบักรหัสแอปพลิเคชันในองค์กร OO ที่ไม่ง่ายในการติดตามเช่นเดียวกับรหัส Magento Core
การปฏิบัติตาม PCI มีความแตกต่างเล็กน้อยซึ่งทำให้ CE ไม่สอดคล้องกับ PCI อย่างสมบูรณ์ วิธีที่เร็วและบ่อยที่สุดที่จะเป็นไปตามมาตรฐาน PCI บน CE คือการใช้ระบบเกตเวย์ชำระเงินโทเค็นของบุคคลที่สาม มีส่วนขยายบางอย่างที่ได้รวม Authorize.net CIM หรือ Cybersource โปรไฟล์การชำระเงินไว้แล้วและอีกสองสามรายการ ซึ่งหมายความว่าเมื่อดำเนินการอย่างถูกต้องสิ่งที่คุณเคยจัดเก็บคือ profileID สำหรับลูกค้าและข้อมูลบัตรเครดิตจะถูกเก็บไว้ในเกตเวย์การชำระเงิน
ดังที่ได้กล่าวไปแล้วฉันไม่คิดว่าคำถามของคุณจะระบุข้อมูลที่คุณต้องการจัดเก็บอย่างชัดเจนเกี่ยวกับธุรกรรมที่คุณต้องการปรับปรุงเพื่อให้เป็นไปตามมาตรฐาน PCI หากไม่มีข้อมูลเพิ่มเติมมันเป็นเรื่องยากที่จะช่วยแก้ไขสถาปัตยกรรมของความต้องการเฉพาะของคุณด้วยความเฉพาะเจาะจง
ฉันคิดว่าปกติสองวิธี:
คุณไม่ต้องการทำด้วยตัวเองเพราะคุณเป็นร้านค้าเล็ก ๆ คุณควรอยู่กับ CE และใช้ผู้ให้บริการชำระเงินเพื่อทำสิ่งนี้เพื่อคุณ
คุณเป็น บริษัท ใหญ่และคาดหวังการทำธุรกรรมมากมายและต้องการทำด้วยตัวเอง จากนั้นคุณควรมีเงินเพียงพอที่จะใช้ EE
คำตอบเดิม:
คุณต้องเข้ารหัสข้อมูลบัตรเครดิตทั้งหมด (ขอบคุณ @sonassi) ด้วยวิธี "PCIish" และอีกมากมาย เพื่อตรวจสอบค่าใช้จ่ายในการปฏิบัติตาม PCI afaik เงินจำนวนมาก ทำไมคุณต้องการสิ่งนี้ ใช้ EE :-)
ข้อมูลทั้งหมดที่คุณต้องการสามารถพบได้บนเว็บไซต์ PCI
และฉันไม่คิดว่าจะมีนักพัฒนาจำนวนมากที่นี่ที่รู้มาตรฐานฉันไม่
การปฏิบัติตาม PCI นั้นไม่ได้มีไว้ให้เล่น หากคุณต้องการสิ่งนี้คุณต้องใช้เงินเป็นจำนวนมากและคุณต้องการผู้เชี่ยวชาญ
มีปลั๊กอิน (เช่น บริษัท รักษาความปลอดภัย Foregenix มีสิ่งหนึ่งที่ทำการบันทึกการตรวจสอบการเปลี่ยนแปลงไฟล์และสิ่งอื่น ๆ ) ที่สามารถช่วยให้ตัวควบคุม PCI บางตัวทำงานได้อย่างรวดเร็วและง่ายดาย แต่หากคุณกำลังมองหาเส้นทางที่ง่ายที่สุดจากมุมมองการปฏิบัติตามกฎระเบียบคุณควรพิจารณาใช้หน้าการชำระเงินที่โฮสต์จากเกตเวย์การชำระเงินของคุณ วิธีนี้จะช่วยให้คุณใช้ SAQ A-EP (ตราบใดที่คุณไม่ได้พยายามทำสิ่งที่แตกต่างจากหน้าการชำระเงินที่โฮสต์โดยทั่วไป)