Quais são as etapas que precisam ser tomadas para alcançar a conformidade com PCI para Magento CE?
Por exemplo, usar pagamentos do site Paypal pro ou sage pay direto em uma loja ajudaria a alcançar a conformidade com o PCI?
payment-gateway
blakcaps
fonte
fonte
Respostas:
Não há razão para que o CE não possa ser compatível com PCI
Sempre foi considerado compatível com PCI - até o surgimento do EE, o EE precisava de outro USP. Contanto que você não esteja armazenando detalhes do CC - não há necessidade de criptografia de outros dados (nome / endereço do cliente etc.).
Mas lembre-se de que a conformidade com o PCI é tanto um requisito do lado do aplicativo quanto um conjunto de regras e definições para administrar sua empresa e manipular informações confidenciais.
SAQ
O nível de conformidade em que você se enquadra determinará o que você precisa fazer para garantir a conformidade com a PCI. Se o SAQ (questionário de auto-avaliação) for adequado ao tamanho da sua empresa, você poderá passar sem o CE - ao usar um método de pagamento externo (como os descritos).
Caso contrário, acima dos níveis de SAQ - você precisará de um QSA - e estará falando muito com assistência profissional. O fato de você estar perguntando aqui provavelmente estipula que você não está nesse limite.
Você provavelmente se enquadra no SAQ-D
Consulte https://www.pcisecuritystandards.org/smb/what_to_secure.html
Nível de comerciante / transação
Consulte http://usa.visa.com/merchants/risk_management/cisp_merchants.html
O importante é diferenciar o nível do comerciante e o nível do SAQ. Eles são separados. Você pode ser o SAQ-D como comerciante de nível 2. De fato, na maioria dos casos, você pode autoavaliar até o nível 2 quando estiver no nível SAQ-D - pois os requisitos são mais relaxados porque você não está manipulando os dados do cartão.
O simples uso do EE não o torna compatível com PCI, da mesma forma que o uso de um host compatível com o PCI não o torna compatível com o PCI. Sua empresa como um todo (aplicativo, empresa / equipe, hospedagem) deve ser compatível com PCI.
fonte
O nível de PCI que você precisa cumprir depende de quantas transações você provavelmente terá. Como primeiro passo, você deve determinar qual nível se aplicaria a você:
http://usa.visa.com/merchants/risk_management/cisp_merchants.html este é do VISA, mas se aplicaria da mesma forma ao PCI
Com cada nível, você terá diferentes requisitos para atender. Depois de fazer a avaliação, tenho certeza de que alguém será capaz de fornecer uma resposta mais detalhada sobre as medidas a serem tomadas com a CE.
fonte
O Enterprise Edition vem com um aplicativo chamado Payment Bridge, que lida com uma quantidade muito boa de criptografia e pode ser executado em um servidor separado do seu aplicativo. Isso pode ser um extermínio para a maioria dos contextos e requer disposição para isolar e depurar o código do aplicativo em uma organização OO que não é tão fácil de seguir quanto o código do Magento Core.
A conformidade com o PCI possui muitas pequenas nuances que, na verdade, tornam o CE totalmente não compatível com o PCI. A maneira mais rápida e geralmente a melhor para ser compatível com PCI no CE é usar um sistema de gateway de pagamento de tokenização de terceiros. Existem algumas extensões que já integraram o Authorize.net CIM, ou Cybersource Payment Profiles, e algumas outras. Isso significa que, quando implementado corretamente, tudo o que você armazena é o ID do perfil do cliente e os dados do cartão de crédito são armazenados no gateway de pagamento.
Dito isto, não acho que sua pergunta exponha claramente as informações que você deseja armazenar sobre a transação que deseja aprimorar para atender à conformidade com o PCI. Sem mais informações, é difícil ajudar a resolver a arquitetura de seus requisitos específicos com qualquer especificidade.
fonte
Eu acho que normalmente são duas maneiras:
Você não quer fazer isso sozinho, porque você é uma pequena loja, então você deve ficar com o CE e usar algum provedor de pagamento para fazer isso.
Você é uma grande empresa e espera muitas transações e deseja fazer isso sozinho. Então você deve ter dinheiro suficiente para usar o EE.
RESPOSTA ANTIGA:
Você precisa criptografar todos os dados do cartão de crédito (graças a @sonassi) de uma maneira "PCIish" e muito mais. Verificar a conformidade com o PCI custa muito dinheiro. Por que voce quer isso? Use o EE :-)
Todas as informações necessárias podem ser encontradas no site do PCI
E acho que não há muitos desenvolvedores aqui, que conhecem o padrão, nem eu.
A conformidade com PCI não é nada para brincar. Se você quer isso, gasta muito dinheiro e precisa de especialistas.
fonte
Existem plugins (por exemplo, a empresa de segurança Foregenix tem um que faz log, monitoramento de alterações de arquivos e poucas outras coisas) que podem ajudar a implementar alguns dos controles PCI de maneira rápida e simples. Mas se você deseja seguir o caminho mais fácil do ponto de vista de conformidade, considere realmente usar uma página de pagamento hospedada no seu gateway de pagamento. Isso permitirá que você use o SAQ A-EP (desde que não esteja tentando fazer algo diferente da página de pagamento hospedada comum).
fonte