Problema de cumplimiento de PCI

2

Mi compañía está tratando de ser totalmente compatible con PCI y estamos cambiando nuestros sistemas obsoletos para usar Authorize.net CIM entre otras cosas. Pero, actualmente estamos en todas partes y hasta que nuestro nuevo sistema de administración de bases de datos se actualice, no tengo un lugar donde pueda almacenar temporalmente tarjetas de crédito para pagos a una factura.

Actualmente, cuando un cliente llama y quiere pagar su factura, rellena un formulario de pago en línea (que, entre otras cosas, incluye su número de tarjeta de crédito) que nos envía por correo electrónico de forma segura (lol oxymoron) por un período temporal de tiempo (antes de que se envíe a nuestro sistema de base de datos y luego se envíe a authorize.net para que se le cobre). O incluso peor, ¡a veces en realidad está escrito en un papel! No está bien ... Es solo el número, no CVV2 ni nada.

¿Existe CUALQUIER método que nos permita almacenar solo un número de tarjeta de crédito y un identificador (local o remoto) que sea compatible con PCI? No puedo usar CIM para esto, ya que estos son números sueltos sin cuentas en el momento de la entrada, demasiado complicado y nuestro nuevo sistema lo estará usando. Necesito una solución más rápida por ahora. Básicamente, me gustaría poder decir "Tarjeta de crédito de la tienda xxxxxxxxxxxx1234 AQUÍ con ID 5" y luego volver y decir "Obtenme la tarjeta de crédito con ID 5". Solo para que se almacene encriptado en algún lugar de una manera compatible con PCI.

    
pregunta jfraczek 06.12.2012 - 14:37
fuente

3 respuestas

2

Estaba intentando pensar en la solución más fácil para ti. Lo que se me ocurrió es simplemente anotar toda la información que necesita en un documento txt con Notepad ++, luego simplemente cifrar todo el contenido del archivo. Cuando necesite obtener un número o agregar un número, simplemente salga completamente de su red para no estar conectado, luego descifre el archivo con la contraseña que haya creado.

Hay un módulo integrado para hacer esto en notepad ++. Puede encontrar los detalles aquí: enlace

Por supuesto, esto de ninguna manera es una solución a largo plazo o perfectamente segura. Pero para una manera rápida y sucia de simplemente almacenar algunos datos cifrados, esto debería hacer el truco. No estoy seguro de esta reunión PCI, sin embargo, un QSA podría tener un día feliz con este lol

    
respondido por el giygas73 06.12.2012 - 21:52
fuente
1

Authorize.net proporciona una función que le permite procesar el pago en su servidor y que suministran lo que básicamente es un token de recibo. Esta podría ser su mejor apuesta hasta que pueda obtener su sistema compatible con PCI para manejar usted mismo el número CC. Dependiendo del volumen de transacciones que realice, incluso podría ser preferible tener que lidiar con los problemas de cumplimiento de PCI. Desafortunadamente, no recuerdo el nombre exacto de la función en Authorize.Net, pero se describe como el lugar donde redirecciona a su página y le devuelve la llamada una vez que se procesa el pago.

    
respondido por el AJ Henderson 06.12.2012 - 14:51
fuente
1

Dependerá de si desea o no almacenar esta información usted mismo y de la implementación que esté utilizando.

Si está utilizando su SIM (Método de integración de servidor), que se recomienda en situaciones en las que desea almacenar información de la tarjeta para facilitar el cumplimiento de la PCI, entonces puede usar el almacenamiento de su tarjeta (Vault).

Si está utilizando AIM, o si no desea usar su Bóveda, entonces solo deberá cifrar esta información en una base de datos segura que no esté conectada directamente a Internet para que sea compatible con PCI. Por lo tanto, puede utilizar una base de datos con la información que desee y puede asignar claves únicas a la información que necesita.

Si está usando DPM, entonces no debería preocuparse por nada de esto, ya que será manejado por Authorize.Net.

Sin embargo,

recomendaría CIM en el futuro, ya que puede aliviar algunos de los problemas que está viendo, y también podría asignar esta información a las cuentas de los clientes locales, etc.

Para obtener más información sobre sus mejores prácticas de seguridad, siempre puede visitar la siguiente URL:

enlace

    
respondido por el doyler 06.12.2012 - 19:05
fuente

Lea otras preguntas en las etiquetas