Cumplimiento de PCI DSS en shopify utilizando el procesador de pagos del cliente

Navega tus respuestas
2

Estoy desarrollando un sitio web de comercio electrónico para un cliente en Shopify, usualmente Shopify se integra con muchas puertas de enlace, pero para esta instancia, el cliente nos pidió crear un pago personalizado que se integre con un procesador de pagos que no sea compatible con Shopify. .

El desarrollo está hecho y todo funciona bien (el sitio aún no está activo), sin embargo, se me ocurrió la genial idea de verificar si el proceso cumple con las normas PCI DSS. Espero que me puedan aconsejar sobre esto:

  • El sitio está desarrollado en Shopify
  • El cliente verifica e ingresa los datos de la tarjeta en el sitio de Shopify.
  • Los datos se transmiten a nuestro servidor (droplet) en Digital Ocean a través de una solicitud AJAX.
  • el certificado HTTPs del servidor es de Let's Encrypt

  • Acabo de realizar una prueba de cumplimiento de PCI DSS en línea en enlace y los resultados parecen buenos, excepto por un problema (que intento para resolver lo antes posible):

  • El precio total y las tarifas de envío se recalculan en el servidor & y la fecha se envían a la pasarela de pago.

  • Solo se almacenan los datos del pedido, todo excepto la información de la tarjeta.




Tengo varias preguntas:

  • ¿Ya estoy fuera de peligro, o aún nos queda un largo camino por delante?
  • ¿Existe un certificado oficial de conformidad con PCI DSS? ¿Es obligatorio?
  • ¿Quién verificará la validez del proceso? cómo & cuando?
pregunta user2517028 17.06.2017 - 19:51
fuente

2 respuestas

2

Es posible que todavía tengas algo por recorrer, me temo.

Si los datos de la tarjeta tocan su servidor, entonces su servidor está dentro del alcance.

Si su servidor no está segmentado del resto de la red, toda su red está dentro del alcance. Esto podría incluir el acceso físico a los edificios y a todos los equipos de escritorio de la empresa.

Puede obtener una auditoría si desea estar muy seguro de que cumple con los requisitos, pero eso solo lo hacen las personas que venden soluciones.

Es un poco tarde en el día, pero si shopify no es compatible con esta puerta de enlace, probablemente deberías intentar encontrar una tercera parte que lo haga. El principal punto de venta de este tipo de proveedor es que manejan el cumplimiento de PCI por usted. Si no está preparado para los dolores de cabeza.

    
respondido por el ste-fu 17.06.2017 - 21:53
fuente
1

Hay asesores de seguridad calificados de terceros que son auditores capacitados en las auditorías de PCI de su empresa y pueden emitir un informe de auditoría de PCI independiente. Si desea ir por esa ruta, deberá buscar y ponerse en contacto con un auditor que preste servicio en su país. Por lo general, esto solo es necesario si tiene socios comerciales que requieren que presente evidencia de cumplimiento de PCI antes de realizar negocios con usted.

En muchos casos, el cumplimiento de PCI puede ser auto auditado. Querrá comenzar con el Cuestionario de autoevaluación .

En la mayoría de las jurisdicciones, PCI está autorregulada por la industria de pagos, por lo que los bancos y los procesadores de pagos aplican el cumplimiento. Si descubren que su sitio está relacionado con una gran cantidad de transacciones fraudulentas, pueden exigirle que presente evidencia de cumplimiento. Si descubren que usted no cumple, pueden imponer multas, restricciones o, en el peor de los casos, pueden negarse a realizar sus pagos y usted puede terminar en una situación en la que ningún procesador de pagos estará dispuesto a aceptar los pagos con tarjeta. . Para muchos negocios en línea que se basan en transacciones con tarjeta, esto puede significar el fin del mundo. Además, hay algunas jurisdicciones donde el Cumplimiento de PCI también es un requisito legal, que conlleva sanciones legales adicionales.

    
respondido por el Lie Ryan 19.06.2017 - 02:57
fuente

Lea otras preguntas en las etiquetas

¿Por qué el Firewall de Windows tiene tantas reglas de excepción de forma predeterminada? ¿El nuevo WannaCry puede afectar los datos del sistema de archivos ext4 de Linux desde Windows?