requisitos de cumplimiento de PCI al actuar como transferencia para los detalles de la tarjeta de crédito

3

Estoy trabajando para un inicio y generamos Mastercards prepagas de un emisor de tarjetas. En nuestra base de datos guardamos una identificación de referencia de tarjeta, no el PAN o CVC de 16 dígitos. Más tarde, hacemos una API al emisor de la tarjeta para obtener el PAN, el CVC y el POST en una tienda en línea minorista (el minorista está utilizando Salesforce Commerce Cloud). En el sitio del minorista, el procesador de pagos procesa el PAN y el CVC.

Toda la comunicación (de nuestros servidores al emisor de la tarjeta y de nuestros servidores a la tienda minorista) se realiza a través de SSL. Creo que debido a que no almacenamos el PAN o el CVC, y en su lugar actuamos como un paso, no necesitamos ser compatibles con PCI. ¿Esto es correcto?

    
pregunta Mark 06.07.2018 - 10:29
fuente

5 respuestas

3

De: enlace

  

El PCI DSS se aplica a CUALQUIER organización, independientemente del tamaño o el número de transacciones, que acepte, transmita o almacene cualquier información del titular de la tarjeta

Como ha indicado anteriormente, ambos aceptan y transmiten los datos del titular de la tarjeta de ustedes mismos al minorista, por lo que sí, debe cumplir con la norma PCI.

    
respondido por el RedBullNinja 06.07.2018 - 10:37
fuente
0

Como dice otra respuesta, ya que tiene un nivel de visibilidad deliberada de los PAN, debe cumplir con los requisitos de PCI.

Hay excepciones estructurales, como los ISP no tienen que presentar informes sobre el cumplimiento de los PAN que transitan por el cable, ya que esos PAN son responsabilidad de los clientes del ISP. Pero la pregunta describe un escenario claro de acuñación e intercambio de PAN, por lo que se le puede mostrar que es responsable y debe mantener una práctica de cumplimiento.

El nivel de cumplimiento depende de la cantidad de transacciones en las que participe, lo que en su caso, dado que parece ver el PAN en cada transacción del titular de la tarjeta, podría ser considerable. También hay una diferencia importante en los requisitos de cumplimiento que depende de si está "almacenando" los PAN "en reposo" o simplemente trabajando con ellos "en tránsito", ya que estos últimos implican menos requisitos.

Parece que deberías poder cumplir con las condiciones de tránsito, sin embargo, puedes encontrarte fácilmente con una arquitectura en reposo si haces cosas simples como "PAN" temporalmente en caché en un redis.

Todo lo dicho, tengo curiosidad por una cosa, con quién necesitas tener esta relación de cumplimiento. Debe ser a través del banco adquirente que respalda al emisor de su tarjeta (si no son ellos mismos un banco) y su contrato con el emisor debe contener el lenguaje a tal efecto. Si no es así, si ya está en este negocio y actualmente no sabe a quién o con quién necesita enviar un RoC o similar, es posible que haya creado una gran responsabilidad para usted.

PCI es fundamentalmente solo un conjunto de contratos comerciales, no una regulación gubernamental como HIPAA. Si participa en la acuñación e intercambio de PAN y algo sale mal y no tiene disposiciones contractuales ni protecciones al respecto, o seguro que lo cubra, aparecerá una demanda que lo sacará del negocio.

Le aconsejaría leer primero el lenguaje de su acuerdo con su emisor, tiene que haber algo allí.

    
respondido por el Jonah Benton 06.07.2018 - 14:05
fuente
0

El cumplimiento de PCI DSS es contractual, por lo que la pregunta importante es con quién tiene un contrato que requiere que cumpla con los requisitos y quién le pedirá que valide su cumplimiento. En este caso, su relación es con un emisor prepago de Mastercard, por lo que su contrato con ellos sin duda le exigirá que cumpla con las PCI DSS y les proporcione un Informe de cumplimiento (RoC).

    
respondido por el withoutfire 07.07.2018 - 00:24
fuente
0

Por lo tanto, hay diferentes niveles de cumplimiento de PCI DSS:

Leer & entender:

enlace

Bastante largo, pero es su cumplimiento en juego.

Creo (y no creas mi palabra) que cumples los requisitos de SAQ C SI ESTÁS UTILIZANDO UN PROCESADOR DE PAGO DE LA 3ª PARTE para generar estos.

Si tienes un gancho en mastercard (siendo una startup, lo dudo, pero es posible), vale la pena ver el SAQ D.

    
respondido por el RandomUs1r 07.07.2018 - 00:48
fuente
0

El cumplimiento de PCI es una buena cosa. Sin embargo, no es barato en varios aspectos. En última instancia, se debe tomar una decisión comercial si usted necesita procesar los datos de la tarjeta de crédito usted mismo.

Recomiendo leer la documentación de PCI DSS con respecto a SAQ. Dependiendo de la arquitectura y el volumen de transacciones, puede encajar en una de las categorías de SAQ que aísla su sistema de un entorno compatible con PCI DSS. Sin embargo, es muy probable que deba externalizar parte de su proceso de procesamiento de tarjetas de crédito a un proveedor de cumplimiento de PCI.

    
respondido por el Igor Gatis 07.07.2018 - 14:15
fuente

Lea otras preguntas en las etiquetas