PCI DSS 3.0 y terminales de tarjeta para nuestros comerciantes

Navega tus respuestas
2

Ejecutamos un servicio de software en línea que recopila y transmite transacciones con tarjeta para pequeños comerciantes. Utilizan terminales de tarjeta deslizables conectados a sus PC comerciales que dirigen el tráfico directamente a nuestro portal seguro a través de HTTPS con autenticación de dos factores. Estos comerciantes son nuestros clientes y sus modelos y prácticas comerciales son tan variados como sus nombres. No controlamos lo que hacen dentro de su espacio de oficina. Muchos aún no tienen certificación PCI.

Como parte de nuestro servicio de suscripción, compramos el hardware de tarjeta magnética para ellos a los revendedores de hardware y hacemos que esos distribuidores envíen directamente a nuestros clientes. A lo largo de los años, hemos recomendado 3 modelos Magtek diferentes: Imagesafe, MICRImage y Dynamag Magnesafe. Estos componentes nunca entran en nuestras premisas físicas. Los compramos y los enviamos directamente al cliente. No los modificamos y no los poseemos.

Entonces, ¿debo realizar un seguimiento de ellos como parte de nuestro inventario de hardware bajo PCI DSS 3.0? Si es así, sé que necesitaría hardware, números de serie, políticas y procedimientos para reforzar cada uno, y una forma de probar y rastrear cada uno. Estoy hablando de miles de pequeños comerciantes, y la idea me enferma.

Mi esperanza es que, como no era el distribuidor, simplemente puedo enviar a cada comerciante un conjunto de instrucciones de endurecimiento específicas para la marca / modelo de terminal que tienen y solicitar la certificación de que han implementado esas instrucciones. ¿Será eso suficiente?

Mi preocupación es que, debido a que era el comprador, estaré pendiente de la implementación segura de estos terminales en el entorno de cada comerciante.

¿Qué piensas?

    
pregunta Skelter 09.06.2015 - 03:25
fuente

2 respuestas

1

Primero, es genial que realmente estés tomando en serio las reglas de cumplimiento de PCI. (No, eso no es una broma o un intento de sucumbir; solo ha sido mi experiencia con los comerciantes y otras entidades cubiertas por los requisitos de PCI, que si puede hacer que se preocupen lo suficiente por el cumplimiento de PCI, para obtener una coloque "en el campo de juego" de cumplir con las reglas que se aplican a ellos, ha logrado una buena victoria. Está comprometido a ir más allá de ese estándar en la búsqueda del cumplimiento real.)

En segundo lugar, para resumir lo que pienso la respuesta a su pregunta es: los requisitos adicionales probablemente no se apliquen a usted en su situación tal como la describe. Ofrezco esa opinión debido a / dependiendo de la verdad de algunos puntos que deduzco de la declaración de su pregunta. Entre ellos:

  1. Supongo que hasta este momento está acostumbrado a realizar sus tareas de PCI únicamente dentro de las reglas de PA-DSS (es decir, para desarrolladores de aplicaciones de pago), y confía en que no está dentro de la Reglas que cubren los procesadores de pago.

  2. También asumo que usted no proporciona las "aplicaciones de pago para residentes" que existen en los terminales de hardware que los comerciantes que atiende están utilizando. Este es un supuesto clave, como se establece en la versión 3.1 de las reglas PA-DSS; Si proporcionara el código de solicitud de pago que se encuentra en las terminales de su comerciante, probablemente se apliquen una serie de requisitos adicionales en comparación con lo que está haciendo ahora. Sin embargo, lo bueno es que si de hecho creara un código de pago en el terminal como parte de sus soluciones, obviamente lo sabría.

  3. De su declaración, parece que usted no tiene absolutamente ningún rol con respecto a los terminales de pago, excepto que técnicamente pague por ellos de Magtek (u otros fabricantes). No tiene ningún rol en la configuración de los terminales para aceptar pagos; sus comerciantes hablan directamente con el procesador de pagos para registrar la configuración de sus equipos, sus claves de cifrado, etc. Y, para estar 100% seguros, nunca está en posesión física de los terminales (es decir, se envían directamente desde Magtek u otro fabricante a sus comerciantes) .

  4. Finalmente, asumo que, al menos, una minoría sustancial de sus comerciantes no no usa el cifrado de procesador de pagos de extremo a extremo / P2PP / swipe-to-payment . Eso, por supuesto, haría que muchos de sus dolores de cabeza de PCI sean mucho más fáciles. (No tener números de tarjeta sin cifrar ni datos de seguimiento toca ninguno de sus servicios o software). Y la información de la tarjeta de pago de las personas que compran en sus comercios es mucho más segura. Y a medida que sus comerciantes proceden a cambiar a los lectores de tarjetas que pueden manejar el uso de tarjetas chip, sería un buen momento para alentarlos a asegurarse de que sus nuevos lectores / terminales se configuren para cifrar las transacciones de banda magnética también. (Un consejo suave.)

Por lo tanto, todas las condiciones anteriores son verdaderas, en mi opinión, es muy probable que su situación no requiera que cumpla con los requisitos adicionales que discute sobre el seguimiento de la custodia, el estado y la integridad de los terminales. Cerraré reforzando la parte "en mi opinión" de la última oración: si es posible que esté realmente seriamente preocupado y sienta que realmente necesita una respuesta sólida, definitivamente debería comprometerse y buscar el consejo de una empresa. que tiene una gran experiencia en el software de pago / servicio de conformidad con el extremo PCI. Así que ... deje que se convierta en mi descargo de responsabilidad acerca de confiar en el análisis anterior.

    
respondido por el mostlyinformed 12.09.2015 - 05:52
fuente
1

Todos esos comerciantes serán responsables en última instancia de su propio cumplimiento y esto debe ser aplicado y supervisado por su adquirente. Por lo general, tendrán que completar un Cuestionario de autoevaluación, mi conjetura es SAQ B-IP que incluye un PED con conectividad IP. Ese SAQ también incluye los requisitos de la norma PCI DSS 9.9 a los que hace referencia. Si no posee esos dispositivos y no es responsable de su administración, es responsabilidad de los comerciantes cumplir con esos requisitos.

Dado que proporciona los dispositivos a los comerciantes, puede proporcionar orientación sobre cómo deben administrar esos dispositivos de manera segura, mantener un inventario, identificar si han sido manipulados o no, pero no tiene que hacer esto .

    
respondido por el AndyMac 09.06.2015 - 18:47
fuente

Lea otras preguntas en las etiquetas

Evitar el phishing de algunos sitios web críticos La contraseña de mi cuenta de Virgin Media es visible en texto simple al personal del centro de llamadas. ¿Qué debo hacer?