Magento CE için PCI Uyumluluğu sağlamak için atılması gereken adımlar nelerdir?
Örneğin, Paypal web sitesi ödemelerinin yanlısı ya da bir mağazadaki doğrudan maaş ödemesinin kullanılması, PCI uyumluluğunun sağlanmasına yardımcı olur mu?
Magento CE için PCI Uyumluluğu sağlamak için atılması gereken adımlar nelerdir?
Örneğin, Paypal web sitesi ödemelerinin yanlısı ya da bir mağazadaki doğrudan maaş ödemesinin kullanılması, PCI uyumluluğunun sağlanmasına yardımcı olur mu?
Yanıtlar:
Her zaman PCI Uyumlu olarak kabul edildi - EE gelene kadar, EE başka bir USP'ye ihtiyaç duyuyordu. CC ayrıntılarını saklamadığınız sürece - diğer verilerin şifrelenmesine gerek yoktur (müşteri adı / adresi vb.).
Ancak, PCI Uyumluluğunun, şirketinizi yönetmeye ve hassas bilgileri yönetmeye ilişkin bir dizi kural ve tanım kadar bir uygulama tarafı gereksinimi olduğunu unutmayın.
PCI Uyumluluğunu sağlamak için ne gibi bir uyumluluk düzeyi içindeyseniz, yapmanız gerekenleri belirler. SAQ (öz değerlendirme anketi) işletme büyüklüğünüze uygunsa, CE ile yardımsız geçebilirsiniz - harici bir ödeme yöntemi kullanırken (tarif edilenler gibi).
Aksi takdirde, SAQ seviyelerinin üstünde - yine de bir QSA'ya ihtiyacınız olacak - ve profesyonel yardımla büyük paradan bahsediyorsunuz. Burada sorduğunuz gerçeği, muhtemelen bu sınırda olmamanızı şart koşuyor.
Büyük olasılıkla SAQ-D altına girersiniz
Ödeme kartlarını nasıl kabul ediyorsunuz?
A. Kart mevcut değil (e-ticaret veya posta / telefon siparişi veren) tüccarlar, tüm kart sahibi veri işlevlerini dış kaynaklı. Bu asla yüz yüze tüccarlar için geçerli olmaz.
B. Elektronik kart sahibi veri deposuna sahip olmayan yalnızca tüccarlar veya elektronik kart sahibi veri deposuna sahip olmayan bağımsız, çevirmeli terminal tüccarları.
Cı-VT. Yalnızca web tabanlı sanal terminaller kullanan tüccarlar, elektronik kart sahibi veri depolama alanı yoktur.
C. İnternete bağlı ödeme başvuru sistemli tüccarlar, elektronik kart sahibi veri deposu yok.
D. Yukarıdaki A ve C arasındaki SAQ tiplerinin tanımlarına dahil edilmeyen diğer tüm tüccarlar ve bir SAQ'yu tamamlamak için uygun bir ödeme markası tarafından tanımlanan tüm hizmet sağlayıcılar.
Https://www.pcisecuritystandards.org/smb/what_to_secure.html adresine bakın.
- Yıllık 6 milyondan fazla Visa işlemi yapan tüccarlar (tüm kanallar) veya herhangi bir Visa bölgesi tarafından Seviye 1 olarak tanımlanan Küresel tüccarlar 2
- Yıllık 1 milyon ila 6 milyon Visa işlemi yapan satıcılar (tüm kanallar)
- Yıllık 20.000 ila 1 milyon Visa e-ticaret işlemi gerçekleştiren satıcılar
- Yıllık 20.000'den az Visa e-ticaret işlemi yapan tüccarlar ve yılda 1 milyona kadar Visa işlemi yapan diğer tüm tüccarlar
Http://usa.visa.com/merchants/risk_management/cisp_merchants.html adresine bakın.
Önemli olan, satıcı seviyesini ve SAQ seviyesini farklılaştırmaktır. Onlar ayrı. Seviye 2 tüccarı olarak SAQ-D olabilirsiniz. Aslında, çoğu durumda, SAQ-D düzeyinde, Seviye 2'ye kadar kendi kendini değerlendirebilirsiniz - gereksinimler daha rahat olduğundan, kart verilerini hiç kullanmadığınız için.
Yalnızca EE kullanmak sizi PCI Uyumlu hale getirmez, aynı şekilde bir PCI Uyumlu ana bilgisayar kullanmak da sizi PCI Uyumlu hale getirmez. İşletmenizin bir bütün olarak (uygulama, işletme / personel, barındırma) tümü PCI Uyumlu olmalıdır.
Uymanız gereken PCI seviyesi, kaç tane işlem yapmanız gerekeceğine bağlıdır. İlk adım olarak, hangi seviyenin sizin için geçerli olacağını belirlemelisiniz:
http://usa.visa.com/merchants/risk_management/cisp_merchants.html bu VISA’dan geliyor ancak benzer şekilde PCI’e de başvuruyor
Her seviye ile karşılamak için farklı gereksinimleriniz olacak. Değerlendirmeyi yaptıktan sonra, birisinin CE ile atmanız gereken adımlar konusunda size daha ayrıntılı bir cevap verebileceğinden eminim.
Enterprise Edition , gerçekten güzel bir şifreleme miktarıyla uğraşan ve uygulamanızdan ayrı bir sunucuda çalıştırılabilen Payment Bridge adlı bir uygulama ile birlikte geliyor . Bu, çoğu bağlam için aşırı öldürülebilir ve bir OO kuruluşunda Magento Çekirdeği kodu kadar kolay olmayan uygulama kodunu yalıtmak ve hata ayıklamak için istekli olmayı gerektirir.
PCI uyumluluğu, CE'yi tamamen PCI uyumlu değil yapan birçok küçük nüansa sahiptir. CE'de PCI uyumlu olmanın en hızlı ve en sık kullanılan yolu, üçüncü taraf tokenization ödeme ağ geçidi sistemini kullanmaktır. Authorize.net CIM'i veya Cybersource Ödeme Profilleri'ni zaten entegre etmiş birkaç tane uzantı ve birkaç tane daha var. Bu, doğru bir şekilde uygulandığında, kaydettiğiniz tüm işlemlerin müşterinin profileID'si olduğu ve kredi kartı verilerinin ödeme ağ geçidinde depolandığı anlamına gelir.
Söylendiği gibi, sorunuzun, PCI uyumluluğunu sağlamak için geliştirmek istediğiniz işlemle ilgili saklamak istediğiniz bilgileri açıkça ifade ettiğini sanmıyorum. Daha fazla bilgi olmadan, belirli gereksinimlerinizin mimarisini herhangi bir özellikle çözmenize yardımcı olmak zordur.
Bence normalde iki yol var:
Kendin yapmak istemiyorsun, çünkü küçük bir dükkansın, CE’de kalmalısın ve bunu yapmak için bazı ödeme sağlayıcıları kullanmalısın.
Sen büyük bir şirketsin ve çok fazla işlem bekliyorsun ve bunu kendin yapmak istiyorsun. O zaman EE'yi kullanmak için yeterli paraya sahip olmalısınız.
ESKİ CEVAP:
Tüm kredi kartı verilerini (@sonassi sayesinde) "PCIish" şekilde şifrelemeniz gerekiyor ve çok daha fazlası. PCI uyumluluk maliyetlerini kontrol etmek çok fazla paraya mal olur. Bunu neden istiyorsun EE'yi kullanın :-)
İhtiyacınız olan tüm bilgileri PCI Web sitesinde bulabilirsiniz
Ve burada standardı bilen pek çok geliştirici olduğunu da sanmıyorum.
PCI uyumluluğu oynayacak bir şey değil. Bunu istiyorsan çok para harcamalısın ve uzmana ihtiyacın var.
Bazı PCI kontrollerinin hızlı ve kolay bir şekilde yerine getirilmesine yardımcı olabilecek eklentiler (örneğin, Foregenix'in güvenlik şirketi günlük kaydı yapan bir dosya var, dosya değişimi izlemesi ve birkaç başka şey var) var. Ancak en kolay yolu uygunluk perspektifinden izlemeyi düşünüyorsanız, ödeme ağ geçidinizde barındırılan bir ödeme sayfasını kullanmayı düşünmelisiniz. Bu, SAQ A-EP'yi kullanmanıza izin verir (normal barındırılan ödeme sayfasından farklı bir şey yapmaya çalışmadığınız sürece).