¿Qué nivel de cumplimiento de PCI debo cumplir si no almaceno, pero transmito datos?

Navega tus respuestas
2

Estoy haciendo un poco de investigación sobre mi nivel de cumplimiento de PCI, y me resulta difícil entender dónde se supone que debo estar.

Tengo un servicio web que tiene facturación recurrente. El sitio se crea utilizando PHP y Drupal. Acepto y transmito la información de la tarjeta de crédito a través de un formulario y la envío a través de POST cifrado TLS a Authorize.net para su procesamiento y almacenamiento.

Nunca almaceno ninguna información de tarjeta de crédito.

Utilizo un servicio de alojamiento compatible con PCI, con un servidor privado, físico y dedicado.

Procesé muy, muy pocas tarjetas de crédito. Al igual que, en el orden de 1 cada 2-3 meses.

Sé que debo ser compatible con PCI, pero no estoy seguro de qué nivel es, y creo que es el nivel A o C. Estoy esperando el nivel A, pero No estoy seguro, porque necesito facturación recurrente, y la API ARB de Authorize.net parece ser la única que lo admite sin que yo almacene nada, por lo que luego cifro y publico los datos en Authorize.net.

Gracias por cualquier respuesta.

    
pregunta Nathan Lutterman 27.11.2013 - 22:53
fuente

1 respuesta

6

Versión corta:

Posiblemente SAQ C, pero tenga cuidado, porque SAQ D está lleno de personas que pensaron que eran SAQ C. Si usted proporcionó más información, puede que no tarde mucho en que asienta con la cabeza y le diga " Ah, sí, SAQ D. "

Versión larga:

Si no lo ha hecho, debería leer Instrucciones y pautas del cuestionario de autoevaluación de PCI DSS .

No estás SAQ A . A es para "comerciantes sin tarjeta (e-commerce o correo / pedidos por teléfono), todas las funciones de datos del titular de la tarjeta subcontratadas ". (énfasis mío). Si su servidor está aceptando un número de tarjeta, luego lo está retransmitiendo a su procesador, entonces está transmitiendo los datos de la tarjeta, que es una función de datos del titular de la tarjeta.

No eres SAQ B . B es para "comerciantes solo de impresión", es decir, comerciantes con acceso a la tarjeta física. "B" es para Brick & mortero :).

No eres SAQ C-VT . VT significa "terminales virtuales basadas en la web", lo que significa que su empleado se sienta con una computadora frente a ellos y un teléfono y los números de tarjeta que el cliente les dice; El VT actúa exactamente como el terminal en la línea de pago en su supermercado: habla con el procesador, obtiene una respuesta, no almacena los datos de la tarjeta. Si los clientes ingresan datos en su servidor web, entonces no es un VT.

Usted podría ser SAQ C . Si está enviando de inmediato solicitudes de autenticación a su procesador, nunca las almacena (como para lotes), y no tiene ningún otro sistema hablando con el sistema que está tomando tarjetas, entonces podría calificar para C. Pero el problema es ". El sistema de aplicación de pago / dispositivo de Internet no está conectado a ningún otro sistema dentro de su entorno ". Usted realmente tiene que ser un conducto mínimo como puede ser. Por cierto, aquí es donde el matiz sobre la transmisión pero no el almacenamiento puede afectarle. El almacenamiento de los datos de la tarjeta lo llevará a D, y la transmisión podría no hacerlo, si se limita adecuadamente.

Eso te deja con SAQ D , "Todos los demás comerciantes no incluidos en las descripciones de los tipos A a C de SAQ". Es el SAQ más largo, por lo que muchos casos límite creen lo suficiente como para convertirse en un SAQ C.

Pero incluso si está en SAQ D, si su procesador admite la tokenización, puede reducir su alcance respondiendo "N / A" a muchas preguntas y listándolas como su control de compensación. Por ejemplo, DSS 3.4, el requisito de cifrar los números de tarjeta, puede marcarse como N / A si nunca almacena números de tarjeta, sino que usa fichas. 

<disclaimer>
I work for Litle, but you might look into their PayPage + Vault,
which gives you tokenization and allows you to avoid having card
data transit your server.  Recurring payments, too, IIRC.
</disclaimer>
    
respondido por el gowenfawr 28.11.2013 - 02:17
fuente

Lea otras preguntas en las etiquetas

¿Cómo determina nmap si está ejecutando el servicio HTTP en un puerto? Falla aquí ¿Cuál es la diferencia entre Anti-malware y antispyware?