it-swarm.com.de

PCI-Konformität bei Verwendung von Drittanbieter-Verarbeitung

Mein Unternehmen lagert die Entwicklung unserer neuen E-Commerce-Website an ein Webentwicklungsunternehmen eines Drittanbieters aus. Sie richten unsere Website für die Abwicklung von Transaktionen ein, indem der Benutzer die erforderlichen Zahlungsinformationen eingibt, diese Daten an einen Drittanbieter weiterleitet, der die Zahlung verarbeitet, und die Transaktion dann abschließt, wenn alles in Ordnung ist.

Als das Problem der PCI/DSS-Konformität angesprochen wurde, sagten sie:

Sie benötigen keine PCI-Zertifizierung, da der Client-Browser die vertraulichen Informationen direkt an den Drittanbieter sendet, wenn die Transaktion verarbeitet wird. Der Prozess ist jedoch für den Benutzer transparent, da alle Benutzeroberflächen und Anzeigen von uns gesteuert werden. Der einzige Server, der konform sein muss, ist der des Drittanbieters, da keine sensiblen Kartendaten jemals Ihren Server oder Ihre Web-App berühren.

Obwohl ich dem Wissen unserer Webentwickler sehr vertraue und es respektiere, wecken sie für mich einige ernste rote Fahnen.

Bei der Beschreibung der Website bin ich sicher, dass wir keine gehosteten Zahlungsseiten wie Paypal oder Google Checkout-Angebote verwenden werden (wie könnten wir die Kontrolle über die Benutzeroberfläche behalten, wenn dies der Fall wäre?) Anscheinend besteht die einzige andere Möglichkeit für uns darin, XML direkt zu verwenden, um mit unserem Drittanbieter für die Verarbeitung zu kommunizieren.

Meine beiden Fragen lauten wie folgt:

  1. Ist nach allem, was Sie gelesen haben, "XML Direct" die einzige Option, die sie möglicherweise verwenden könnten, oder gibt es eine andere Methode, von der ich nicht weiß, welche sie implementieren könnten?
  2. Vor allem , ist es wahr, dass unsere Site keine PCI-Zertifizierung benötigt? Soweit ich weiß, bedeutet die Verwendung der XML-Direktmethode, dass wir do PCI/DSS-zertifiziert sein müssen, und der einzige Weg, um zertifiziert zu werden, ist eine von Zahlungen gehostete Seite (d. H. Paypal).
3
Moses

Ist nach allem, was Sie gelesen haben, "XML Direct" die einzige Option, die sie möglicherweise verwenden könnten, oder gibt es eine andere Methode, von der ich nicht weiß, welche sie implementieren könnten?

Es gibt mehr Möglichkeiten als XML Direct, einen Dritten für die Zahlung zu verwenden. Ein Beispiel hierfür ist Authorize.net's Direct Post Method (DPM). Mit DPM können Sie das Zahlungsformular hosten, sodass Sie die vollständige Kontrolle über das Erscheinungsbild dieser Seite haben. Nach dem Absenden des Formulars wird es direkt zur Verarbeitung an Authorize.Net gesendet. Nach Abschluss der Transaktion werden die Benutzer zurück auf Ihre Website geleitet. Sie berühren niemals die Kreditkarteninformationen, haben jedoch die vollständige Kontrolle über das Erscheinungsbild des gesamten Prozesses.

Stimmt es, dass unsere Site keine PCI-Zertifizierung benötigt? So wie ich es verstehe, bedeutet die Verwendung der XML-Direktmethode, dass wir PCI/DSS-zertifiziert sein müssen, und der einzige Weg, um zertifiziert zu werden, ist über eine von Zahlungen gehostete Seite (d. H. Paypal).

Wenn Sie auf irgendeine Weise Zahlungen über Ihre Website akzeptieren, müssen Sie auf die PCI-Konformität achten. Der größte Teil der schwierigen Dinge wird jedoch an den Zahlungsabwickler übergeben. Sie haben weniger Probleme zu lösen. Sie sind also nicht vollständig von der PCI-Konformität entbunden, wie der Entwickler sagt, aber das meiste davon wird Ihnen abgenommen, und was übrig bleibt, ist einfacher zu implementieren.

2
John Conde

Sofern sich die Seite, auf der sie ihre CC-Informationen eingeben, nicht auf einer anderen Domain befindet (IE-Paypal-Umleitung), würde ich mich immer um PCI kümmern.

Dies bedeutet nicht, dass Sie die PCI-Level-1-Anforderungen erfüllen müssen (IE-Read-Only-Datenbank für jede Art von Transaktionsmaterial), aber es bedeutet, dass Sie die Anforderungen für Level 4 befolgen sollten. Siehe Visa-Anforderungen da sie die strengsten sind, glaube ich.

Dies FAQ sollte ebenfalls hilfreich sein, damit Sie besser informiert sind.

Stufe 4 ist kein wesentliches Kostenhindernis, daher würde ich immer empfehlen, dies zu tun. Die Mehrheit der Scan-Anbieter lässt Ihre IP-Adresse im Grunde nur gegen ein Tool wie Nessus laufen, aber es hilft CYA trotzdem, falls Sie gehackt oder kompromittiert werden.

Prost

2
ChrisV