Magento CE PCI Uyumluluğu


22

Magento CE için PCI Uyumluluğu sağlamak için atılması gereken adımlar nelerdir?

Örneğin, Paypal web sitesi ödemelerinin yanlısı ya da bir mağazadaki doğrudan maaş ödemesinin kullanılması, PCI uyumluluğunun sağlanmasına yardımcı olur mu?


Tüm verileri "PCIish" şekilde şifrelemeniz gerekir. PCI uyumluluk maliyetlerini kontrol etmek çok fazla paraya mal olur. Bunu neden istiyorsun EE :-) Kullanın
Fabian Blechschmidt

Potansiyel zorluklardan kaçınmak istiyorsanız, bunun yerine barındırılan bir ödeme yöntemi kullanın. SagePay sunucusu veya PayPal standardı gibi.
Ben Lessani - Sonassi,

Yanıtlar:


15

CE'nin PCI Uyumlu Olmaması için bir neden yok

Her zaman PCI Uyumlu olarak kabul edildi - EE gelene kadar, EE başka bir USP'ye ihtiyaç duyuyordu. CC ayrıntılarını saklamadığınız sürece - diğer verilerin şifrelenmesine gerek yoktur (müşteri adı / adresi vb.).

Ancak, PCI Uyumluluğunun, şirketinizi yönetmeye ve hassas bilgileri yönetmeye ilişkin bir dizi kural ve tanım kadar bir uygulama tarafı gereksinimi olduğunu unutmayın.

SAQ

PCI Uyumluluğunu sağlamak için ne gibi bir uyumluluk düzeyi içindeyseniz, yapmanız gerekenleri belirler. SAQ (öz değerlendirme anketi) işletme büyüklüğünüze uygunsa, CE ile yardımsız geçebilirsiniz - harici bir ödeme yöntemi kullanırken (tarif edilenler gibi).

Aksi takdirde, SAQ seviyelerinin üstünde - yine de bir QSA'ya ihtiyacınız olacak - ve profesyonel yardımla büyük paradan bahsediyorsunuz. Burada sorduğunuz gerçeği, muhtemelen bu sınırda olmamanızı şart koşuyor.

Büyük olasılıkla SAQ-D altına girersiniz

Ödeme kartlarını nasıl kabul ediyorsunuz?

A. Kart mevcut değil (e-ticaret veya posta / telefon siparişi veren) tüccarlar, tüm kart sahibi veri işlevlerini dış kaynaklı. Bu asla yüz yüze tüccarlar için geçerli olmaz.

B. Elektronik kart sahibi veri deposuna sahip olmayan yalnızca tüccarlar veya elektronik kart sahibi veri deposuna sahip olmayan bağımsız, çevirmeli terminal tüccarları.

Cı-VT. Yalnızca web tabanlı sanal terminaller kullanan tüccarlar, elektronik kart sahibi veri depolama alanı yoktur.

C. İnternete bağlı ödeme başvuru sistemli tüccarlar, elektronik kart sahibi veri deposu yok.

D. Yukarıdaki A ve C arasındaki SAQ tiplerinin tanımlarına dahil edilmeyen diğer tüm tüccarlar ve bir SAQ'yu tamamlamak için uygun bir ödeme markası tarafından tanımlanan tüm hizmet sağlayıcılar.

Https://www.pcisecuritystandards.org/smb/what_to_secure.html adresine bakın.

Satıcı / İşlem Seviyesi

  1. Yıllık 6 milyondan fazla Visa işlemi yapan tüccarlar (tüm kanallar) veya herhangi bir Visa bölgesi tarafından Seviye 1 olarak tanımlanan Küresel tüccarlar 2
  2. Yıllık 1 milyon ila 6 milyon Visa işlemi yapan satıcılar (tüm kanallar)
  3. Yıllık 20.000 ila 1 milyon Visa e-ticaret işlemi gerçekleştiren satıcılar
  4. Yıllık 20.000'den az Visa e-ticaret işlemi yapan tüccarlar ve yılda 1 milyona kadar Visa işlemi yapan diğer tüm tüccarlar

Http://usa.visa.com/merchants/risk_management/cisp_merchants.html adresine bakın.


Önemli olan, satıcı seviyesini ve SAQ seviyesini farklılaştırmaktır. Onlar ayrı. Seviye 2 tüccarı olarak SAQ-D olabilirsiniz. Aslında, çoğu durumda, SAQ-D düzeyinde, Seviye 2'ye kadar kendi kendini değerlendirebilirsiniz - gereksinimler daha rahat olduğundan, kart verilerini hiç kullanmadığınız için.


Yalnızca EE kullanmak sizi PCI Uyumlu hale getirmez, aynı şekilde bir PCI Uyumlu ana bilgisayar kullanmak da sizi PCI Uyumlu hale getirmez. İşletmenizin bir bütün olarak (uygulama, işletme / personel, barındırma) tümü PCI Uyumlu olmalıdır.


2

Uymanız gereken PCI seviyesi, kaç tane işlem yapmanız gerekeceğine bağlıdır. İlk adım olarak, hangi seviyenin sizin için geçerli olacağını belirlemelisiniz:

  1. Her tüccar - kabul kanalından bağımsız olarak - yılda 6 milyondan fazla Visa işlemi gerçekleştiriyor. Visa'nın kendi takdirine bağlı olarak belirlediği herhangi bir tüccar, Visa sistemi riskini en aza indirmek için Seviye 1 satıcı gereksinimlerini karşılamalıdır.
  2. Herhangi bir satıcı - kabul kanalından bağımsız olarak - yılda 1 milyondan 6 milyona kadar Vize işlemi gerçekleştiriyor.
  3. Her yıl 20.000 ila 1 milyon Visa e-ticaret işlemi gerçekleştiren herhangi bir tüccar.
  4. Yılda 20.000'den az Visa e-ticaret işlemi yapan herhangi bir tüccar ve diğer tüm tüccarlar - kabul kanalından bağımsız olarak - yılda 1M'ye kadar Visa işlemlerini gerçekleştiriyorlar.

http://usa.visa.com/merchants/risk_management/cisp_merchants.html bu VISA’dan geliyor ancak benzer şekilde PCI’e de başvuruyor

Her seviye ile karşılamak için farklı gereksinimleriniz olacak. Değerlendirmeyi yaptıktan sonra, birisinin CE ile atmanız gereken adımlar konusunda size daha ayrıntılı bir cevap verebileceğinden eminim.


1

Enterprise Edition , gerçekten güzel bir şifreleme miktarıyla uğraşan ve uygulamanızdan ayrı bir sunucuda çalıştırılabilen Payment Bridge adlı bir uygulama ile birlikte geliyor . Bu, çoğu bağlam için aşırı öldürülebilir ve bir OO kuruluşunda Magento Çekirdeği kodu kadar kolay olmayan uygulama kodunu yalıtmak ve hata ayıklamak için istekli olmayı gerektirir.

PCI uyumluluğu, CE'yi tamamen PCI uyumlu değil yapan birçok küçük nüansa sahiptir. CE'de PCI uyumlu olmanın en hızlı ve en sık kullanılan yolu, üçüncü taraf tokenization ödeme ağ geçidi sistemini kullanmaktır. Authorize.net CIM'i veya Cybersource Ödeme Profilleri'ni zaten entegre etmiş birkaç tane uzantı ve birkaç tane daha var. Bu, doğru bir şekilde uygulandığında, kaydettiğiniz tüm işlemlerin müşterinin profileID'si olduğu ve kredi kartı verilerinin ödeme ağ geçidinde depolandığı anlamına gelir.

Söylendiği gibi, sorunuzun, PCI uyumluluğunu sağlamak için geliştirmek istediğiniz işlemle ilgili saklamak istediğiniz bilgileri açıkça ifade ettiğini sanmıyorum. Daha fazla bilgi olmadan, belirli gereksinimlerinizin mimarisini herhangi bir özellikle çözmenize yardımcı olmak zordur.


Yanıt: sonassi cevabınız yanlış CE 2010'da PCI uyumluluk kuralları değişinceye ve CE artık gereksinimlere uymayana kadar PCI uyumlu olarak kabul edildi.
mprototype

OP, herhangi bir kart sahibinin bilgisini işlemedikleri veya saklamadıkları, ödemeleri yakalamak ve işlemek için dış hizmetlere güvendikleri konusunda oldukça açıktı. Herhangi bir uygulama, kart sahibinin verilerini saklamadığınız sürece, herhangi bir zorlama olmadan, PCI uyumlu, CE dahil olabilir. Ancak PCI uyumluluğu yalnızca kullandığınız yazılım değildir. Her şey şirket uygulamaları ve uygulamalarıyla ilgili.
Ben Lessani - Sonassi,

Aşağı oy iyi ... Ayrıca CE uyumlu olabilir dedim ... ama kutunun dışında değil ve evet biz süreci de önemlidir, ancak bir cevap bile benim için iyi bir değer için kredi vermeyin sanırım bakış açısı sizinkiyle çelişiyor ve cevabınızın yapmadığı PCI uygunluk çabaları yapıldığında bazı sorunların çözümlerini tartışıyor. Ayrıca ne ödeme köprüsünden, ne de ödeme köprüsünden yanıtınıza PCI uyumuna yönelik başarısından bahsetmedim. Ve ifademe uyuyorum ... CE'nin PCI uyumunun orada olduğu ve hiç değişmediği bir yanlışlık olduğu iddiası. gereksinimler değişti
mprototype

1
OP hiçbir zaman Enerji Verimliliği'ne ilgi göstermedi. Bu soru CE ile ilgili. CE, PA-DSS sertifikalı değil, ancak PCI uyumlu ile aynı değil. Yerel olarak, CC verilerini CE ile PCI olarak depolayamazsınız - ancak OP asla amaçlanmadı.
Ben Lessani - Sonassi

0

Bence normalde iki yol var:

  1. Kendin yapmak istemiyorsun, çünkü küçük bir dükkansın, CE’de kalmalısın ve bunu yapmak için bazı ödeme sağlayıcıları kullanmalısın.

  2. Sen büyük bir şirketsin ve çok fazla işlem bekliyorsun ve bunu kendin yapmak istiyorsun. O zaman EE'yi kullanmak için yeterli paraya sahip olmalısınız.

ESKİ CEVAP:

Tüm kredi kartı verilerini (@sonassi sayesinde) "PCIish" şekilde şifrelemeniz gerekiyor ve çok daha fazlası. PCI uyumluluk maliyetlerini kontrol etmek çok fazla paraya mal olur. Bunu neden istiyorsun EE'yi kullanın :-)

İhtiyacınız olan tüm bilgileri PCI Web sitesinde bulabilirsiniz

Ve burada standardı bilen pek çok geliştirici olduğunu da sanmıyorum.

PCI uyumluluğu oynayacak bir şey değil. Bunu istiyorsan çok para harcamalısın ve uzmana ihtiyacın var.


Kart Sahibi Ayrıntıları'ndan başka bir şeyi şifrelemeniz gerekmez .
Ben Lessani - Sonassi,

OP'nin CC detaylarını kaydettiği halde (ki olmasalar bile) PCI Uyumluluğunu yerine getirme girişiminde bir EE tavsiyesinin hiçbir zaman garantili olduğunu sanmıyorum.
Ben Lessani - Sonassi,

0

Bazı PCI kontrollerinin hızlı ve kolay bir şekilde yerine getirilmesine yardımcı olabilecek eklentiler (örneğin, Foregenix'in güvenlik şirketi günlük kaydı yapan bir dosya var, dosya değişimi izlemesi ve birkaç başka şey var) var. Ancak en kolay yolu uygunluk perspektifinden izlemeyi düşünüyorsanız, ödeme ağ geçidinizde barındırılan bir ödeme sayfasını kullanmayı düşünmelisiniz. Bu, SAQ A-EP'yi kullanmanıza izin verir (normal barındırılan ödeme sayfasından farklı bir şey yapmaya çalışmadığınız sürece).

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.