¿Necesito el cumplimiento de PCI DSS cuando uso PayPal Express Checkout?

IANAQSA ...

  

Si estoy usando PayPal Express Checkout en mi sitio web, ¿debo cumplir con la norma PCI DSS?

Sí. Si un cliente va a su sitio web, coloca las cosas en su carrito, y luego hace clic en "Quiero pagar por estas cosas" y se redirige de alguna manera a una página de pago alojada por otra persona, todavía tiene Obligaciones de cumplimiento de PCI.

  

Con Pago estándar en el sitio web, Facturación en línea, Pago exprés y Pago en el sitio web Pro Hosted, PayPal maneja la información de la tarjeta de pago en su nombre y, por lo tanto, alivia enormemente la carga del cumplimiento de PCI. "¿Qué?" Alivia en gran medida la carga "¿Qué hace? que significa?

"facilita en gran medida la carga" significa que usted será elegible para un SAQ menos oneroso de lo que sería si no estuviera usando sus servicios. No sé lo suficiente sobre los diferentes productos que han enumerado allí, pero, por ejemplo, la tokenización puede ayudar a reducir el alcance de SAQ-D a SAQ-C. Si la tokenización está en uso y se usa una redirección web para transmitir datos de pago a través de sus servidores, puede desplegar el SAQ-A EP o SAQ-A, dependiendo del tipo de redirección que se use.

Mirando la descripción de Pago exprés, probablemente significa que estás mirando SAQ-A o SAQ-A EP.

  

Por favor, ayuda, estoy muy confundido y no estoy seguro de si debo hacer que el trabajo sea compatible o no.

Tienes que ser compatible. En el caso de SAQ-A, eso es bastante simple. En el caso de SAQ-A EP, un poco más complejo. Si vas a SAQ C +, ahora tienes trabajo que hacer.

Para saber qué nivel de cumplimiento debe cumplir, trabaje con su procesador, que en este caso sería PayPal. Dígale a su contacto de ventas que desea comprender cuáles serán sus obligaciones de PCI y pregúntele si puede hablar con alguien en su departamento de Cumplimiento para saber a qué SAQ se someterá y cuál es el proceso para enviarlo.

De enlace :

  

Nuestros productos más populares, como Pagos en sitio web, Pago y facturación exprés, ya son compatibles con PCI. Y, dado que manejamos la información de la tarjeta de sus clientes por usted, puede olvidar el tiempo, el costo y el dolor de cabeza de mantener el cumplimiento de PCI .

Por la redacción de PayPal, no necesita hacer nada si no está manejando los datos del titular de la tarjeta (debe incluir al menos el PAN - Número de cuenta principal - para una tarjeta).

En primera instancia, las multas por incumplimiento se aplican a los proveedores de pago y a los grandes comerciantes, por lo que si PayPal estuviera en línea por una gran multa, habrían estado asegurando a cada comerciante utilizando sus servicios estaría llenando su cuestionario de autoevaluación (SAQ), ya que PayPal sería responsable de garantizar que los insumos en sus sistemas también cumplan con las normas.

Incluso la autoevaluación más simple de SAQ-A estaría más allá de la mayoría de los traders exclusivos para completarse de manera confiable, solo porque tiene demasiadas consideraciones técnicas de las que no tendrían ninguna idea.

De este diagrama ( enlace ), incluso teniendo una página de producto, independientemente de si recopila datos del titular de la tarjeta, parece implicar que se debe utilizar el SAQ-A-EP. Sin embargo, SAQ-A-EP está cubriendo la situación en la que el sitio del comerciante proporciona simultáneamente css o javascript para mantener la coherencia de la presentación entre los sitios del comerciante y el proveedor, por lo que el diagrama puede indicar eso, pero no de manera inequívoca.

En general, considero que la documentación de PCI es bastante obtusa y un alcance excesivo, ya que continuamente se refieren a los datos del titular de la tarjeta como su criterio principal, pero parecen querer controlar cada sistema que alimenta su proceso, independientemente de si se incluye el PAN. o no. Proporcionar la información significa que sus datos personales y la configuración detallada de sus sistemas se proporcionan a uno o más terceros, en cuyos sistemas y procesos se espera que confíe.

La documentación de PCI se refiere a la situación even if you don't store cardholder data , pero no cubre de manera explícita por separado la situación en la que sus sistemas no manejan ningún datos del titular de la tarjeta, es decir, ni siquiera recopilan ni transmiten eso. Tenga en cuenta que los datos solo se convierten en cardholder data cuando incluye el PAN; de lo contrario, son solo los datos del cliente que puede tener independientemente de si realizó pagos con tarjeta de crédito, y si bien la seguridad de manejo de datos de esos datos del cliente es buena, debería ser ninguno de los negocios de las compañías de tarjetas si no incluye el PAN.

Tenga en cuenta que, técnicamente, PDT e IPN no devuelven cardholder data , ya que no incluyen el PAN con el cliente y los detalles de la transacción devueltos.