Guía de cumplimiento de PCI

3

Estoy en medio de configurar una solución de comercio electrónico en un sitio web comercial. Mi sistema almacenará el número de tarjeta en la forma de: xxxx-xxxx-xxxx-4000 (solo los últimos 4 dígitos) y XXX (nada) para el código CVV. Los detalles completos se envían a una puerta de enlace externa (raven).

Solo me gustaría saber qué nivel de cumplimiento de PCI DSS necesito para mis servidores.

A continuación se muestran quizás 4 niveles diferentes de opciones de seguridad.

enlace

Saludos cordiales,

    
pregunta mr12086 24.01.2012 - 10:00
fuente

1 respuesta

4

PCI-DSS requiere que cumpla con los requisitos si almacena, transmite o procesa tarjetas de crédito. Aunque no los almacena por completo, ¿reside el número completo de la tarjeta de crédito (incluso temporalmente) en su sitio? Si es así, estás sujeto a la SAQ-D.

El único nivel (singular) para el que califica potencialmente es el SAQ-A que se ocupa de los comerciantes que tienen transacciones de comercio electrónico o de pedidos por correo o teléfono.

Estados de SAQ-A

  • Su compañía solo maneja transacciones con tarjeta no presente (comercio electrónico o correo / teléfono);
  • Su empresa no almacena, procesa ni transmite ningún dato del titular de la tarjeta en sus sistemas o locales, pero depende completamente de proveedores de servicios de terceros para manejar todas estas funciones;
  • Su compañía ha confirmado que los terceros que manejan, procesan y / o almacenan la transmisión de datos del titular de la tarjeta es compatible con PCI DSS;
  • Su compañía solo retiene informes en papel o recibos con datos del titular de la tarjeta, y estos documentos no se reciben electrónicamente; y
  • Su empresa no almacena ningún dato del titular de la tarjeta en formato electrónico.

SAQ-B es para comerciantes que usan dispositivos de lectura de tarjetas.

SAQ-C es básicamente para empresas que utilizan sistemas de computación en puntos de venta o terminales virtuales.

SAQ-D es para todos los demás.

Parece que los detalles de la tarjeta están ingresando en su sistema. Aunque sus intenciones son utilizar un procesador de terceros, esta no es la intención de SAQ-A. SAQ-A está diseñado para el procesamiento de terceros, de modo que los detalles de la tarjeta NUNCA ingresen en su sistema (piense en Paypal).

    
respondido por el logicalscope 24.01.2012 - 15:26
fuente

Lea otras preguntas en las etiquetas