¿Mi servidor debe cumplir con el cumplimiento de PCI si solo reenvía el número de tarjeta de crédito?

2

Actualmente estoy intentando implementar un sistema de pago ( braintree ) pero no estoy del todo seguro de cómo se supone que funciona. .

Lo que espero que funcione como:

  • El usuario selecciona un producto y hace clic en "comprar"
  • El usuario ingresa una tarjeta de crédito para pagar y hace clic en "ok"
  • Mi cliente envía la información de la tarjeta de crédito a mi servidor
  • Mi servidor reenvía esto a braintree (o paypal) y recibo una ficha de identificación de tarjeta de crédito
  • Usando ese token firmo un acuerdo para el usuario, la tarjeta de crédito y mi plan de facturación recurrente y notifico al cliente si funcionó o no
  • El usuario ve en el cliente que funcionó y comienza a disfrutar del servicio

Por lo tanto, no quiero que el usuario requiera algo como una cuenta de PayPal si es posible. Tampoco estoy 100% seguro de cómo funciona la API de braintree, pero por su aspecto, puedo crear un Customer que tiene varias tarjetas de crédito. Sin embargo, necesitaría transmitir la tarjeta de crédito a mi servidor, que solo reenvía esta información al custodio.

Si la respuesta es "sí, su servidor debe cumplir con el cumplimiento de PCI", me gustaría saber si es posible tener un sistema de pago que no requiera una cuenta de usuario en el custodio.

    
pregunta Stefan Falk 01.08.2016 - 19:33
fuente

2 respuestas

4

Sí, su servidor como se describe tiene que ser compatible con PCI. Sin embargo, la mayoría de los procesadores admiten modos de operación, diferentes a los que usted describe . lo que limitará su alcance *.

Usted dice:

  
  • Mi cliente envía la información de la tarjeta de crédito a mi servidor
  •   
  • Mi servidor reenvía esto a braintree (o paypal) y recibo una ficha de identificación de tarjeta de crédito
  •   

Si los datos de la tarjeta de crédito son transmitidos, almacenados o procesados por su servidor, entonces su servidor está dentro del alcance y está sujeto a un conjunto razonablemente grande de cumplimiento de PCI, como SAQ C o SAQ D.

Sin embargo, la mayoría de los procesadores son compatibles con las tecnologías iframe y / o javascript que permitirán que su servidor se elimine del bucle. El cliente envía sus datos de la tarjeta directamente al procesador, y el procesador les entrega una parte que puede entregarle. en lugar de una tarjeta de crédito para llevar a cabo la compra. Usted, a su vez, cobra esa ficha para obtener un token que representa los datos de la tarjeta que le entregaron al procesador.

Cuando dicha tecnología está en uso y aísla sus sistemas de cualquier participación directa con los datos de la tarjeta, sus requisitos de cumplimiento se reducen a SAQ A o SAQ A-EP.

Debería preguntar a su procesador " ¿Qué ofertas tiene para la tokenización que me permitirán mantener a mis servidores fuera del alcance y reducir mis requisitos de cumplimiento de PCI? " (si dicen "¿eh?" , encuentra un nuevo procesador.)

  

[si es así, ¿es realmente posible] tener un sistema de pago que no   requiere una cuenta de usuario en el custodio.

No. Si está permitiendo que un procesador maneje las tarjetas por usted, entonces debe darles una cuenta bancaria para usarlas en la transferencia de fondos (por ejemplo, compras) y de (por ejemplo, devoluciones de cargo). Y cuando quieran la cuenta bancaria, querrán todo tipo de información tediosa como quién eres. De hecho, el procesador lo está patrocinando en la red de tarjetas. Son responsables de tus deudas si te portas mal.

(Y eso es cierto ya sea que estén administrando los datos reales de la tarjeta (tokenización) o simplemente procesando transacciones ... Los números de las tarjetas de crédito no son útiles sin el procesamiento de la red de la tarjeta; no puede cobrarlos sin una conexión para el sistema, y el sistema no está diseñado para miembros anónimos. Si desea el anonimato, cargue en Bitcoins o Simoleons en lugar de tarjetas de crédito).

* Si su empresa está aceptando pagos con tarjeta de crédito, está obligado por PCI, incluso si no toca los datos reales de la tarjeta de crédito. Lo mejor que puede hacer es reducir su alcance : si está sujeto a SAQ A, por ejemplo, tendrá ~ 15 requisitos en lugar de ~ 300 para SAQ D.

    
respondido por el gowenfawr 01.08.2016 - 22:24
fuente
1

Los documentos de Braintree muestran un ejemplo donde los datos de la tarjeta se envían directamente a ellos y usted solo recuperar un token Si este caso se adapta a sus necesidades, entonces el cumplimiento de PCI no es necesario.

Entonces el flujo sería así:

  • El usuario ingresa los datos de su tarjeta en un formulario creado por la biblioteca de JavaScript de Braintree y lo envía. Se dirige a su servidor y envían un token, que se inserta en un campo oculto en su formulario.
  • Su formulario se envía a su servidor, pero no contiene más que un token que hace referencia a la tarjeta guardada en los servidores de Braintree.
  • Su servidor usa el token como si fueran datos de la tarjeta (puede asociarlo a clientes, configurar suscripciones, etc.) pero no puede usarse fuera de su cuenta de Braintree y, por lo tanto, no es parte de PCI-DSS. alcance.
respondido por el André Borie 01.08.2016 - 19:57
fuente

Lea otras preguntas en las etiquetas