Conformidade com Magento CE PCI

22

Quais são as etapas que precisam ser tomadas para alcançar a conformidade com PCI para Magento CE?

Por exemplo, usar pagamentos do site Paypal pro ou sage pay direto em uma loja ajudaria a alcançar a conformidade com o PCI?

blakcaps
fonte
Você precisa criptografar todos os dados de maneira "PCIish". Verificar a conformidade com o PCI custa muito dinheiro. Por que voce quer isso? Use o EE :-)
Fabian Blechschmidt
Se você quiser evitar possíveis dificuldades, use um método de pagamento hospedado. Como servidor SagePay ou padrão do PayPal.
Ben Lessani - Sonassi

Respostas:

15

Não há razão para que o CE não possa ser compatível com PCI

Sempre foi considerado compatível com PCI - até o surgimento do EE, o EE precisava de outro USP. Contanto que você não esteja armazenando detalhes do CC - não há necessidade de criptografia de outros dados (nome / endereço do cliente etc.).

Mas lembre-se de que a conformidade com o PCI é tanto um requisito do lado do aplicativo quanto um conjunto de regras e definições para administrar sua empresa e manipular informações confidenciais.

SAQ

O nível de conformidade em que você se enquadra determinará o que você precisa fazer para garantir a conformidade com a PCI. Se o SAQ (questionário de auto-avaliação) for adequado ao tamanho da sua empresa, você poderá passar sem o CE - ao usar um método de pagamento externo (como os descritos).

Caso contrário, acima dos níveis de SAQ - você precisará de um QSA - e estará falando muito com assistência profissional. O fato de você estar perguntando aqui provavelmente estipula que você não está nesse limite.

Você provavelmente se enquadra no SAQ-D

Como você aceita cartões de pagamento?

R. Comerciantes que não estão presentes no cartão (comércio eletrônico ou pedidos por correio / telefone), todas as funções de dados do portador do cartão são terceirizadas. Isso nunca se aplicaria a comerciantes presenciais.

B. Comerciantes somente para impressão, sem armazenamento de dados do titular do cartão eletrônico ou comerciantes de terminal de discagem independentes, sem armazenamento de dados do titular do cartão eletrônico.

C-VT. Comerciantes que usam apenas terminais virtuais baseados na Web, sem armazenamento eletrônico de dados do titular do cartão.

C. Comerciantes com sistemas de aplicativos de pagamento conectados à Internet, sem armazenamento eletrônico de dados do titular do cartão.

D. Todos os outros comerciantes não incluídos nas descrições dos tipos de SAQ A a C acima, e todos os prestadores de serviços definidos por uma marca de pagamento como elegíveis para concluir um SAQ.

Consulte https://www.pcisecuritystandards.org/smb/what_to_secure.html

Nível de comerciante / transação

  1. Comerciantes processam mais de 6 milhões de transações Visa anualmente (todos os canais) ou Comerciantes globais identificados como Nível 1 por qualquer região Visa 2
  2. Comerciantes processam de 1 a 6 milhões de transações de vistos anualmente (todos os canais)
  3. Comerciantes processam de 20.000 a 1 milhão de transações de comércio eletrônico Visa anualmente
  4. Comerciantes processam menos de 20.000 transações de comércio eletrônico Visa anualmente e todos os outros comerciantes processam até 1 milhão de transações Visa anualmente

Consulte http://usa.visa.com/merchants/risk_management/cisp_merchants.html


O importante é diferenciar o nível do comerciante e o nível do SAQ. Eles são separados. Você pode ser o SAQ-D como comerciante de nível 2. De fato, na maioria dos casos, você pode autoavaliar até o nível 2 quando estiver no nível SAQ-D - pois os requisitos são mais relaxados porque você não está manipulando os dados do cartão.


O simples uso do EE não o torna compatível com PCI, da mesma forma que o uso de um host compatível com o PCI não o torna compatível com o PCI. Sua empresa como um todo (aplicativo, empresa / equipe, hospedagem) deve ser compatível com PCI.

Ben Lessani - Sonassi
fonte
2

O nível de PCI que você precisa cumprir depende de quantas transações você provavelmente terá. Como primeiro passo, você deve determinar qual nível se aplicaria a você:

  1. Qualquer comerciante, independentemente do canal de aceitação, processando mais de 6 milhões de transações Visa por ano. Qualquer comerciante que a Visa, a seu exclusivo critério, determine deve atender aos requisitos do comerciante de nível 1 para minimizar os riscos para o sistema Visa.
  2. Qualquer comerciante - independentemente do canal de aceitação - processa transações de 1 milhão a 6 milhões de vistos por ano.
  3. Qualquer comerciante que processe de 20.000 a 1M transações de comércio eletrônico Visa por ano.
  4. Qualquer comerciante que processe menos de 20.000 transações de comércio eletrônico Visa por ano e todos os outros comerciantes - independentemente do canal de aceitação - processando até 1 milhão de transações Visa por ano.

http://usa.visa.com/merchants/risk_management/cisp_merchants.html este é do VISA, mas se aplicaria da mesma forma ao PCI

Com cada nível, você terá diferentes requisitos para atender. Depois de fazer a avaliação, tenho certeza de que alguém será capaz de fornecer uma resposta mais detalhada sobre as medidas a serem tomadas com a CE.

Kristof na Fooman
fonte
1

O Enterprise Edition vem com um aplicativo chamado Payment Bridge, que lida com uma quantidade muito boa de criptografia e pode ser executado em um servidor separado do seu aplicativo. Isso pode ser um extermínio para a maioria dos contextos e requer disposição para isolar e depurar o código do aplicativo em uma organização OO que não é tão fácil de seguir quanto o código do Magento Core.

A conformidade com o PCI possui muitas pequenas nuances que, na verdade, tornam o CE totalmente não compatível com o PCI. A maneira mais rápida e geralmente a melhor para ser compatível com PCI no CE é usar um sistema de gateway de pagamento de tokenização de terceiros. Existem algumas extensões que já integraram o Authorize.net CIM, ou Cybersource Payment Profiles, e algumas outras. Isso significa que, quando implementado corretamente, tudo o que você armazena é o ID do perfil do cliente e os dados do cartão de crédito são armazenados no gateway de pagamento.

Dito isto, não acho que sua pergunta exponha claramente as informações que você deseja armazenar sobre a transação que deseja aprimorar para atender à conformidade com o PCI. Sem mais informações, é difícil ajudar a resolver a arquitetura de seus requisitos específicos com qualquer especificidade.

mprototype
fonte
Re: sonassi sua resposta está incorreta O CE foi considerado compatível com PCI até que as regras de conformidade com o PCI sejam alteradas em 2010 e o CE não atenda mais aos requisitos.
Mprototype
O OP ficou bastante claro de que eles não estão processando ou armazenando nenhuma informação do titular do cartão, eles contam com serviços externos para capturar e processar pagamentos. Qualquer aplicativo pode ser compatível com PCI, incluso CE, sem nenhum trabalho árduo, desde que você não esteja armazenando os dados do titular do cartão. Mas a conformidade com PCI não é apenas o software que você está usando. É tudo sobre práticas e implementação da empresa.
Ben Lessani - Sonassi
Boa votação ... Eu também disse que a CE pode ser compatível ... mas não está pronta para uso, e sim, o processo de negócios também é importante, mas acho que você não dá crédito pelo bom valor em uma resposta, mesmo que meu o ponto de vista entra em conflito com o seu e, por acaso, discute soluções para alguns dos problemas, caso sejam feitos esforços de conformidade com o PCI, o que sua resposta não teve. Também não vi menção ao Payment Bridge nem ao que o Payment Bridge realiza em relação à conformidade com o PCI em sua resposta. E mantenho minha afirmação ... a afirmação de que a conformidade com o PCI da CE estava lá e nunca mudou é uma falácia. os requisitos alterados
mprototype
1
O OP nunca demonstrou interesse em EE. Esta pergunta é sobre CE. O CE não tem certificação PA-DSS , mas não é o mesmo que compatível com PCI. Nativamente, você não pode armazenar dados de CC de maneira PCI com o CE - mas o OP nunca pretendeu.
Ben Lessani - Sonassi
0

Eu acho que normalmente são duas maneiras:

  1. Você não quer fazer isso sozinho, porque você é uma pequena loja, então você deve ficar com o CE e usar algum provedor de pagamento para fazer isso.

  2. Você é uma grande empresa e espera muitas transações e deseja fazer isso sozinho. Então você deve ter dinheiro suficiente para usar o EE.

RESPOSTA ANTIGA:

Você precisa criptografar todos os dados do cartão de crédito (graças a @sonassi) de uma maneira "PCIish" e muito mais. Verificar a conformidade com o PCI custa muito dinheiro. Por que voce quer isso? Use o EE :-)

Todas as informações necessárias podem ser encontradas no site do PCI

E acho que não há muitos desenvolvedores aqui, que conhecem o padrão, nem eu.

A conformidade com PCI não é nada para brincar. Se você quer isso, gasta muito dinheiro e precisa de especialistas.

Fabian Blechschmidt
fonte
Você não precisa criptografar nada além de Detalhes do titular do cartão .
Ben Lessani - Sonassi
Eu não acho que uma recomendação de EE seja justificada na tentativa de atender à conformidade com PCI - mesmo se o OP estivesse salvando os detalhes do CC (o que não é).
Ben Lessani - Sonassi
0

Existem plugins (por exemplo, a empresa de segurança Foregenix tem um que faz log, monitoramento de alterações de arquivos e poucas outras coisas) que podem ajudar a implementar alguns dos controles PCI de maneira rápida e simples. Mas se você deseja seguir o caminho mais fácil do ponto de vista de conformidade, considere realmente usar uma página de pagamento hospedada no seu gateway de pagamento. Isso permitirá que você use o SAQ A-EP (desde que não esteja tentando fazer algo diferente da página de pagamento hospedada comum).

ZWE
fonte