pregunta de conformidad con PCI de un comerciante

Navega tus respuestas
2

Soy un nuevo negocio que realiza subastas en línea para ventas de bienes. Al buscar software para usar, no tenía ni idea sobre el cumplimiento de PCI. Mi cuenta de comerciante me dijo que era fácil. Sería si el desarrollador del software hubiera creado un formulario alojado desde mi sitio a mi pasarela de pago.

Debido a que no lo hicieron, se me exigió que me realizara una exploración AVS que falló. El desarrollador de software (que es diferente de la compañía propietaria del software) me dijo que el Cumplimiento de PCI era falso y que él tiene un certificado SSL, por lo que todo está encriptado y bien. Dijo que solo ha oído hablar del cumplimiento de PCI unas cuantas veces después de crear 700 sitios web y nadie ha podido decirle qué cambiar para cumplir. Los propietarios del software también afirmaron que nunca han oído hablar del cumplimiento con PCI, ya que lo utilizan, al igual que otras 6-7 empresas independientes que nunca han tenido sus cuentas de comerciantes preguntan sobre el cumplimiento con PCI (supuestamente). He terminado mi relación con esta empresa.

Ahora estoy en el proceso de probar software de una compañía diferente que posee el software y contrata a los desarrolladores. Afirman tener un entorno compatible con PCI, pero tampoco usan un formulario alojado; utilizan las API para enviar la información a la puerta de enlace, lo que probablemente significa que tendré que escanear cada 90 días. No me preocupan los inconvenientes, lo que me preocupa es la seguridad y la seguridad de mis clientes y mi responsabilidad.

Parece que estoy completamente enganchado con el cumplimiento de PCI, incluidas las multas y los costos para reemplazar las tarjetas, etc., pero los desarrolladores / compañías de software no tienen ningún aspecto en el juego y no tienen nada que perder ni incentivos para cambiar a un formulario alojado para hacer que el Cumplimiento de PCI sea razonable para los comerciantes que no quieren o no pueden crear su propio software. ¿Esto es normal? ¿Alguien puede decirme por qué PCI Compliance está en el comerciante solamente? Estoy listo para cerrar mi negocio porque parece que soy el único que tiene la bolsa cuando se trata de cumplir con las normas, pero no tengo control sobre el software a excepción de mi elección para usarlo. No dormiré por la noche a menos que sepa que estoy haciendo lo mejor que puedo para mantener los datos de mis clientes lo más seguros posible. ¿Alguien puede proporcionar una visión o consejo aquí? ¿O es esto específico para mi industria en particular?

    
pregunta Kary 20.12.2017 - 00:27
fuente

3 respuestas

4

En primer lugar, cualquier persona que diga "el cumplimiento de PCI es absurdo" es incompetente ; Absolutamente hiciste lo correcto al alejarte de ellos. También tenga en cuenta que la responsabilidad de PCI significa que está enganchado no solo por multas y reemplazos de tarjetas, sino por todo el fraude cometido con los datos de tarjetas robados de su entorno. Si los ladrones compran una flota de Ferraris, ya están casi listos. (Hay otros matices en la responsabilidad de PCI, pero las ventas por Internet tienen la garantía de ser la opción menos segura, y siempre serán más responsables).

Con respecto al software de subasta, considere buscar un software que realice las funciones que desea ofrecer, pero que no realice el procesamiento de pagos. Hay muchos jugadores en el juego de procesamiento de pagos; Debido a que la política de intercambio de pila de seguridad prohíbe las recomendaciones de productos, no podemos ofrecerle una lista específica. Hay muchas grandes empresas de renombre que llevan dinero por la web; Usted no debería tener problemas para encontrar uno.

Una buena manera de encontrar una compañía de pagos es observar cómo funcionan. La próxima vez que compre en línea, vea si la compañía de pagos lo lleva al sitio web de su marca para el procesamiento de pagos y luego lo regresa al sitio de la tienda después de que se apruebe su pago. Ese es el tipo de compañía de pago que deberías buscar contratar; mantiene todo el riesgo de PCI fuera de sus manos.

Una vez que haya visto cómo operan los distintos jugadores en el espacio de pago, sabrá qué buscar y a quién preguntar en la compra de su software de subastas. Algunos pueden preferir una pasarela de pago sobre otra, u ofrecer solo una opción; eso podría estar bien si no te importa su elección de proveedores. Si la empresa de software de subastas no ofrece ya dicha integración integrada en su paquete fuera del rack, pregunte cuándo planean ofrecerlo, no si . Hágales saber que solo va a comprar un paquete que le ofrece aislamiento completo del entorno de pago.

    
respondido por el John Deters 20.12.2017 - 04:32
fuente
2

Es extraño que las tarjetas de crédito sean ubicuas y, sin embargo, el cumplimiento de PCI es relativamente desconocido, tal vez porque es difícil acercarse y los consultores se aprovechan. Es fundamentalmente defectuoso en realidad, poner todo el riesgo en el comerciante, a través de un sistema mal diseñado, y tomar todas las ganancias. Esperemos que las monedas criptográficas ayuden en esta área en el futuro.

De todos modos, prácticamente hablando:

  1. consulte el sitio web del consejo de pci para obtener documentación oficial, también tienen una lista de QSA oficiales.

  2. Busque un proveedor de servicios compatible con PCI, obtenga su certificado de cumplimiento e informe sobre el cumplimiento (haga esto anualmente), asegúrese de que en el contrato que tiene con ellos diga que cumplen con pci. De esta manera, la responsabilidad se traslada a ellos si sus sistemas tienen una infracción.

  3. Si desea configurar la parte de pago por sí mismo, use un iframe o una solución de redireccionamiento de Stripe / Paypal (prácticamente todas las pasarelas de pago tienen esta opción), entonces solo necesita SAQ A (el cuestionario de autoevaluación más simple). .

  4. Puedes intentar hablar con tu banco mercantil, a menudo son muy útiles. Y / o puede hablar con un QSA que le dará consejos sobre qué hacer.

No debería ser un gran problema a menos que estés tratando de hacer algo elegante, solo asegúrate de cubrir tus bases. Buena suerte!

    
respondido por el Richard 22.12.2017 - 02:24
fuente
-2

El cumplimiento de PCI solo es un obstáculo si desea aceptar pagos con tarjetas de crédito. No creo que esto sea exclusivo de su industria, ya que cualquiera que desee realizar pagos en línea debe cumplir con la industria de tarjetas de pago.

Lo mejor que puede hacer es contratar a un consultor para ayudarlo a desarrollar el cumplimiento de PCI de su empresa. Puede que no sea barato, pero es mucho mejor que la alternativa. Lamentablemente, aquí en SE, está fuera del alcance aconsejar exactamente qué hacer o a quién involucrar.

    
respondido por el baldPrussian 20.12.2017 - 04:20
fuente

Lea otras preguntas en las etiquetas

¿Qué es KSPP (proyecto de autoprotección del kernel)? ¿Cómo cargar un LKM malicioso en el inicio?