Sim*_*ver 8 credit-card pci-dss
我有这样的购物车流程:
第4页.收据页面
重复计费是以后的要求,具有可变金额和计划.(用户必须能够返回并更改其计划而无需再次输入CC编号).
这是我不想要做的:
由于我需要一个确认页面,我想我需要使用某种标记化系统,例如braintreepayments提供的.您基本上将信用卡号存储在他们的服务上,他们会返回一个代表该号码的令牌.然后,您可以随时对该卡收取任何金额的费用.这当然是最灵活的解决方案.
我想绕过圈子试图找出这是否是最好的解决方案:
"最纯粹"最安全的方法似乎是重定向到braintree(或提供类似网关的其他人).
编辑(分配赏金后):
我的结论是,我必须有一个系统,我们只需要满足PCI的 A级.一直在更详细地研究PCI,这些问卷是卡片不存在的商家(即电子商务)的相关问卷.
SAQ A :(当CC号码甚至没有触及我们的服务器时).如果你在线销售,你仍然需要填写这份问卷,但这很容易.
SAQ D :(如果我们不存储它们,CC数字会触及我们的服务器)
看看这些问卷,揭示了需求之间的巨大差异.PCI要求经常被误解为一个简单的列表,例如"维护防火墙","安全策略","限制物理访问" - 但如果您实际阅读问卷D,您会看到它有更多问题和要求的顺序.例如,您必须回答您的服务器是否受摄像机保护,以及您的服务器上有哪种数据加密.
我真的很感激知道哪些实际的产品或供应商能够帮助我做我想做的事情.如果真的只有1或2家公司让我这样做,那么我需要知道.
我与Braintree没有任何关系,除非我设法进入他们的电子邮件营销列表.他们只是我设法找到的唯一一家这样做的公司.如果你正在经营另一家公司,那么请务必吹自己的小号.随着时间的推移,PCI要求将变得更加严格,任何已经阅读过这个问题的人都可能已经意识到这一点.
小智 5
是的,如果将CC号存储在内存中,这很重要.当卡号接触您的网络时,您就可以使用PCI了.
我不是为Braintree工作,而是为一家能满足您需求的公司工作.您需要组合标记化并使数据到达外部站点.我们有一个解决方案,可以解决重定向到外部网站的需要.(我很自豪能够做到这一点,人们为此疯狂.)它专门用于解决你提到的一切.(是的,你并不孤单.)
我不会因为自我推销而偏向你的搜索,因为我确信那里有很多人在做这件事.(另外我不是正式的营销能力,也不想给自己造成任何问题.)
祝好运.
更新:您可以成为一家小型公司,但仍然可以达到第1级.这完全取决于数量,如果您第一次做得正确,如果您达到更高等级,则无需更改.如果您没有存储CC号码(通过标记化或其他选项),那么如果您需要第三方审核员需要参与,这将限制应用程序和服务器不需要为PCI做什么.这只是一个问题.
如果卡号完全到达您的服务器,则该服务器的所有内容都在PCI的范围内.审计员不会接受将CC号暂时存储在内存中的事实应该限制服务器的范围,这是非常愚蠢的.但你是对的; 透明重定向,第二站点重定向,甚至简单的回发都无法保证数据不会被盗.PCI正在设置障碍以使数据泄露变得困难,然后能够说你已尽力防止数据被盗.(我的比喻是,PCI将指责指向用户方向的所有点,而不是将业务一直指向处理器的人.)
关于PCI的真正重大问题是,如果您达到审计师需要参与的程度,您就无法预测规则的执行有多严格.每个审核员对PCI DSS要求的解释略有不同,即使是审核ROC报告的人也会突然认定他们不喜欢您正在做的事情.你关心的并不重要; 重要的是,PCI人员是否会接受您的ROC,或者他们是否会对规则实施一些新的解释.
我和许多审计员以及许多通过PCI的大公司合作过.现在的解释是限制范围意味着卡号不能触及您的网络.这对您的影响完全取决于您当前或未来的数量.
小智 3
一般经验法则如下:如果您不读取、存储或处理 PAN (CC#) 和/或到期日期,则不需要 PCI 合规性。如果您甚至远程触摸该卡号,那么您就需要接受 PCI 合规性。
为什么不简单地使用 PayPal 呢?
| 归档时间: |
|
| 查看次数: |
3114 次 |
| 最近记录: |