Proveedor de servicios de SAQ-D sin un CDE

Navega tus respuestas
2

Brindamos un servicio de carrito de compras con integraciones a múltiples procesadores de pago de terceros (PayPal, Authorize.net, etc.) donde el procesamiento de pagos se realiza en sus redes (es decir, no hay datos de CC en nuestras redes). Algunos de nuestros prospectos han dicho que somos un proveedor de servicios en sus ojos ya que controlamos la redirección a los procesadores de pagos.

Ya que no tenemos CDE, ¿podemos responder "N / A" a todos los requisitos de SAQ-D SP que hacen referencia al CDE?

Estoy tratando de limitar nuestro alcance, que creo que es solo el servidor que realiza la redirección. Sin embargo, como no almacena, procesa ni transmite datos de CC, tengo problemas para entender cómo encajamos dentro de SAQ-D SP.

Estoy seguro de que necesitaremos un QSA en algún momento, pero me gustaría averiguar lo más posible para poder tener al menos una conversación inteligente y una lista de preguntas antes de contratarlos.

    
pregunta William Jens 08.12.2017 - 20:57
fuente

2 respuestas

3

Esto depende de cómo hagas la integración con el procesador de pagos. Supongamos por un minuto que eres un comerciante; entonces, las SAQ correctas serían SAQ A o SAQ A-EP dependiendo de la integración / re-direct / IFRAME / JScript.

Como proveedor de servicios, no puede completar A o A-EP, pero debe completar D o realizar un Informe completo sobre el cumplimiento. Lo que debe hacer es seguir la guía contenida en estas Preguntas frecuentes sobre cómo basar una evaluación completa de PCI DSS en un conjunto reducido de requisitos que figura en uno de los otros SAQ.

enlace

enlace

Sé que usted preguntó acerca de SAQ D y no de una evaluación in situ, pero los principios descritos en estas preguntas frecuentes son los mismos para un proveedor de servicios SAQ D.

Para responder a la pregunta sobre qué es el CDE para SAQ A y SAQ A-EP, hay otras preguntas frecuentes que pueden resultarle útiles.

enlace

Es básicamente cualquier cosa que pueda afectar directamente la integridad de la redirección.

    
respondido por el withoutfire 10.12.2017 - 12:01
fuente
0

Hace un tiempo hablé con un QSA sobre esto, estábamos considerando usar un iframe o una redirección para reducir nuestro alcance. Como proveedor de servicios, prácticamente tiene que hacer el lote, argumenté que deberíamos hacer lo que fuera aplicable para SAQ A pero él no estuvo de acuerdo. Me tomó un tiempo llegar, pero ahora estoy de acuerdo.

Pragmáticamente necesita proteger ese servidor (o cualquier otro que trate con datos confidenciales) con la mejor práctica de seguridad de todos modos, así que también podría dejar que PCI lo guíe. No será difícil cambiar esa redirección si tiene fallas de seguridad. Es molesto que los comerciantes no tengan que hacerlo al mismo nivel en algunos aspectos, pero en última instancia es para proteger su negocio.

Un rápido google y encontré esto artículo que dice más o menos lo mismo, que los servidores de redirección están separados del CDE. Por otro lado, he visto en un par de lugares la sugerencia de seguir las secciones de SAQ A para esta situación, por lo que podría depender del QSA.

Como dices, habla con QSA. Sería genial escuchar lo que terminas haciendo, si tienes ganas de compartir.

    
respondido por el Richard 17.12.2017 - 07:26
fuente

Lea otras preguntas en las etiquetas

Descifrar el tráfico TLS ¿Se puede usar mprotect () para cambiar los permisos de .rodata?