Quais são as etapas que precisam ser tomadas para alcançar a conformidade com PCI para Magento CE?
Por exemplo, usar pagamentos do site Paypal pro ou sage pay direto em uma loja ajudaria a alcançar a conformidade com o PCI?
Quais são as etapas que precisam ser tomadas para alcançar a conformidade com PCI para Magento CE?
Por exemplo, usar pagamentos do site Paypal pro ou sage pay direto em uma loja ajudaria a alcançar a conformidade com o PCI?
Respostas:
Sempre foi considerado compatível com PCI - até o surgimento do EE, o EE precisava de outro USP. Contanto que você não esteja armazenando detalhes do CC - não há necessidade de criptografia de outros dados (nome / endereço do cliente etc.).
Mas lembre-se de que a conformidade com o PCI é tanto um requisito do lado do aplicativo quanto um conjunto de regras e definições para administrar sua empresa e manipular informações confidenciais.
O nível de conformidade em que você se enquadra determinará o que você precisa fazer para garantir a conformidade com a PCI. Se o SAQ (questionário de auto-avaliação) for adequado ao tamanho da sua empresa, você poderá passar sem o CE - ao usar um método de pagamento externo (como os descritos).
Caso contrário, acima dos níveis de SAQ - você precisará de um QSA - e estará falando muito com assistência profissional. O fato de você estar perguntando aqui provavelmente estipula que você não está nesse limite.
Você provavelmente se enquadra no SAQ-D
Como você aceita cartões de pagamento?
R. Comerciantes que não estão presentes no cartão (comércio eletrônico ou pedidos por correio / telefone), todas as funções de dados do portador do cartão são terceirizadas. Isso nunca se aplicaria a comerciantes presenciais.
B. Comerciantes somente para impressão, sem armazenamento de dados do titular do cartão eletrônico ou comerciantes de terminal de discagem independentes, sem armazenamento de dados do titular do cartão eletrônico.
C-VT. Comerciantes que usam apenas terminais virtuais baseados na Web, sem armazenamento eletrônico de dados do titular do cartão.
C. Comerciantes com sistemas de aplicativos de pagamento conectados à Internet, sem armazenamento eletrônico de dados do titular do cartão.
D. Todos os outros comerciantes não incluídos nas descrições dos tipos de SAQ A a C acima, e todos os prestadores de serviços definidos por uma marca de pagamento como elegíveis para concluir um SAQ.
Consulte https://www.pcisecuritystandards.org/smb/what_to_secure.html
- Comerciantes processam mais de 6 milhões de transações Visa anualmente (todos os canais) ou Comerciantes globais identificados como Nível 1 por qualquer região Visa 2
- Comerciantes processam de 1 a 6 milhões de transações de vistos anualmente (todos os canais)
- Comerciantes processam de 20.000 a 1 milhão de transações de comércio eletrônico Visa anualmente
- Comerciantes processam menos de 20.000 transações de comércio eletrônico Visa anualmente e todos os outros comerciantes processam até 1 milhão de transações Visa anualmente
Consulte http://usa.visa.com/merchants/risk_management/cisp_merchants.html
O importante é diferenciar o nível do comerciante e o nível do SAQ. Eles são separados. Você pode ser o SAQ-D como comerciante de nível 2. De fato, na maioria dos casos, você pode autoavaliar até o nível 2 quando estiver no nível SAQ-D - pois os requisitos são mais relaxados porque você não está manipulando os dados do cartão.
O simples uso do EE não o torna compatível com PCI, da mesma forma que o uso de um host compatível com o PCI não o torna compatível com o PCI. Sua empresa como um todo (aplicativo, empresa / equipe, hospedagem) deve ser compatível com PCI.
O nível de PCI que você precisa cumprir depende de quantas transações você provavelmente terá. Como primeiro passo, você deve determinar qual nível se aplicaria a você:
http://usa.visa.com/merchants/risk_management/cisp_merchants.html este é do VISA, mas se aplicaria da mesma forma ao PCI
Com cada nível, você terá diferentes requisitos para atender. Depois de fazer a avaliação, tenho certeza de que alguém será capaz de fornecer uma resposta mais detalhada sobre as medidas a serem tomadas com a CE.
O Enterprise Edition vem com um aplicativo chamado Payment Bridge, que lida com uma quantidade muito boa de criptografia e pode ser executado em um servidor separado do seu aplicativo. Isso pode ser um extermínio para a maioria dos contextos e requer disposição para isolar e depurar o código do aplicativo em uma organização OO que não é tão fácil de seguir quanto o código do Magento Core.
A conformidade com o PCI possui muitas pequenas nuances que, na verdade, tornam o CE totalmente não compatível com o PCI. A maneira mais rápida e geralmente a melhor para ser compatível com PCI no CE é usar um sistema de gateway de pagamento de tokenização de terceiros. Existem algumas extensões que já integraram o Authorize.net CIM, ou Cybersource Payment Profiles, e algumas outras. Isso significa que, quando implementado corretamente, tudo o que você armazena é o ID do perfil do cliente e os dados do cartão de crédito são armazenados no gateway de pagamento.
Dito isto, não acho que sua pergunta exponha claramente as informações que você deseja armazenar sobre a transação que deseja aprimorar para atender à conformidade com o PCI. Sem mais informações, é difícil ajudar a resolver a arquitetura de seus requisitos específicos com qualquer especificidade.
Eu acho que normalmente são duas maneiras:
Você não quer fazer isso sozinho, porque você é uma pequena loja, então você deve ficar com o CE e usar algum provedor de pagamento para fazer isso.
Você é uma grande empresa e espera muitas transações e deseja fazer isso sozinho. Então você deve ter dinheiro suficiente para usar o EE.
RESPOSTA ANTIGA:
Você precisa criptografar todos os dados do cartão de crédito (graças a @sonassi) de uma maneira "PCIish" e muito mais. Verificar a conformidade com o PCI custa muito dinheiro. Por que voce quer isso? Use o EE :-)
Todas as informações necessárias podem ser encontradas no site do PCI
E acho que não há muitos desenvolvedores aqui, que conhecem o padrão, nem eu.
A conformidade com PCI não é nada para brincar. Se você quer isso, gasta muito dinheiro e precisa de especialistas.
Existem plugins (por exemplo, a empresa de segurança Foregenix tem um que faz log, monitoramento de alterações de arquivos e poucas outras coisas) que podem ajudar a implementar alguns dos controles PCI de maneira rápida e simples. Mas se você deseja seguir o caminho mais fácil do ponto de vista de conformidade, considere realmente usar uma página de pagamento hospedada no seu gateway de pagamento. Isso permitirá que você use o SAQ A-EP (desde que não esteja tentando fazer algo diferente da página de pagamento hospedada comum).