¿Es obligatorio el cumplimiento de PCI?

Navega tus respuestas
3

Recientemente comencé a trabajar en una adición de comercio electrónico a un sitio en el que estoy trabajando. En mi investigación buscando una forma de hacer SSL sin un certificado / un certificado gratuito Me encontré con Cumplimiento de PCI. He estado leyendo los Requisitos de PCI DSS de: enlace y para ser honesto, mucho de esto suena un poco exagerado por lo que estoy haciendo.

La tienda en la que estoy trabajando venderá alrededor de 20 productos inicialmente a una cantidad muy pequeña de clientes. Estamos utilizando un proveedor de alojamiento y actualmente tenemos un total de 3 empleados en la empresa. Es obligatorio el cumplimiento de PCI o simplemente recomendado y si no es obligatorio, ¿es realmente necesario en este caso?

Gracias

    
pregunta Vinc 07.04.2014 - 14:18
fuente

2 respuestas

4

En primer lugar, no es posible utilizar SSL sin un certificado, no intente rodar su propia seguridad porque no podrá hacerlo. Podría pensar "oye, ¿cómo no sabrías que soy realmente un muy buen experto en criptografía?" Porque no harías tales declaraciones.

PCI-DSS solo es obligatorio si está procesando datos de tarjetas de crédito. Esto significa que si acepta y almacena información de la tarjeta de crédito, debe cumplir con las normas PCI-DSS. ¿Qué pasa si no eres compatible? Bueno, de acuerdo con esta referencia :

  

Si no cumple con los estándares PCI para el cumplimiento y la seguridad   De que su sitio se vea comprometido, se enfrentará a multas y multas   desde $ 5,000 hasta $ 500,000. Las multas, sin embargo, son sólo el   inicio del daño general causado por el incumplimiento.

     

Si su sitio web o empresa no son compatibles con PCI, usted corre el riesgo de   perder su cuenta de comerciante, lo que significa que no podrá aceptar   pagos con tarjeta de crédito a todos. También serás colocado en el   Visa / MasterCard Terminated Merchant File (TMF), que lo hace inelegible   Para obtener otra cuenta mercantil, al menos durante varios años. los   TMF, es esencialmente una lista negra de la cual es casi imposible   ser eliminado.

     

Cuando se agrega un comerciante a la TMF, a veces llamado el archivo de coincidencia,   su nombre, nombre comercial, dirección comercial y dirección del domicilio son todos   célebre. Por lo tanto, no puede simplemente solicitar una nueva cuenta con el nombre de   otro miembro de la familia o socio de negocios porque será visto como   El mismo negocio y ubicación.

     

Ponerse en The Match File es casi lo peor que puede   pasar a cualquier comerciante.

Ahora, mientras lee, hay una multa, solo para su información, la multa se suma a todos los cargos por fraude (de los cuales usted también será responsable).

Si está pensando, "¿cómo puedo hacer un negocio si no puedo aceptar tarjetas de crédito?" simplemente mediante el uso de una pasarela de pago como Paypal, que se ocupa de todos los pagos (y por lo tanto también elimina su necesidad de ser compatible con PCI-DSS).

    
respondido por el Lucas Kauffman 07.04.2014 - 14:30
fuente
0

Se requiere el cumplimiento de PCI si cumple con sus disposiciones. Las disposiciones se aplican, en distintos niveles, si maneja la información de la tarjeta de pago de alguna manera. Esto incluye no solo procesar y almacenar la información, sino también transferir la información a través de sus servidores. Si, por ejemplo, tomó la información de la tarjeta de pago (a su servidor) y la transmitió directamente a un procesador de terceros, incluso sin hacer ningún almacenamiento de la misma, aún sería responsable de implementar partes del PCI-DSS.

También puede obtener más información en su acuerdo de servicios comerciales, que es el documento que acepta seguir al obtener acceso para procesar los pagos con tarjeta de crédito en la red de tarjetas de crédito.

    
respondido por el AJ Henderson 07.04.2014 - 15:32
fuente

Lea otras preguntas en las etiquetas

Heartbleed: ¿es posible este escenario? ¿Qué tan malo sería? Descifrando FDE en la recuperación de desastres