¿Qué constituye enviar pagos a una dirección diferente para PCI-DSS?

Question

¿Qué constituye enviar pagos a una dirección diferente para PCI-DSS?

Navega tus respuestas

#1 de Richard (1 votos)
#2 de SilverlightFox (0 votos)

2

Estoy intentando usar TransArmor PCI Rapid Comply para verificar el cumplimiento de mi pequeña empresa.

En un momento dado, tengo dos opciones:

1) Los clientes envían los pagos a una dirección web diferente (es decir, un sitio web separado para pago / pago)

2) Los clientes envían pagos en mi sitio web (es decir, el proceso de pago / pago es parte de mi sitio web)

Estoy usando un widget JS de terceros para manejar todo el lado del comercio electrónico, que es proporcionado por BookingBug Ltd, una entidad compatible con PCI. Con este widget, los datos de pago nunca tocan mi servidor, por lo que no tengo un entorno de datos de tarjeta. Notablemente, no controlo el JS; se carga dinámicamente a través de una URL bajo el control de BookingBug Ltd. ¿Soy el número 1) o 2)?

Comencé a trabajar con 2), pero ninguna de las preguntas de seguimiento pareció aplicarse. Además, parecían mucho más involucrados de lo que el propietario promedio de un negocio podía responder de manera razonable.

pci-dss

pregunta ToBeReplaced 01.11.2015 - 01:12

fuente

2 respuestas

Lea otras preguntas en las etiquetas pci-dss

Error de autenticación de cliente SSL ¿Se puede dañar accidentalmente un archivo al descargarlo?

score 1 · Answer 1

Solo un QSA puede darle una respuesta calificada, pero puedo darle mi opinión.

Probablemente está haciendo una distinción entre SAQ A y SAQ A-EP. ¿Funciona el widget de BookingBug a través de un iFrame o hace un redireccionamiento completo de la página? En ese caso, es probable que se aplique SAQ A, por lo que se aplicaría el # 1.

Si los datos de la tarjeta de crédito tocan la interfaz de usuario en su totalidad, se le subirá a SAQ A-EP, por lo que se aplicaría el número 2. Si toca tu servidor, serás enviado a SAQ D.

Usted es responsable de garantizar que los servicios de terceros sean compatibles con PCI y lo estén manejando de tal manera que reduzcan su alcance. Respuesta corta para asegurarse de que el widget esté utilizando un iFrame o una redirección completa de la página.

score 0 · Answer 2

_{No soy un QSA, y, lo que es más importante, su QSA: no debe tomarse como un consejo de PCI}

Diría que está en el número 1 porque los datos del titular de la tarjeta no pasan a través de su sistema, sino que van directamente desde el navegador web a la pasarela de pago. Su sitio puede afectar la seguridad de los datos de la tarjeta, ya que aloja la página de redireccionamiento, por lo tanto, el cumplimiento de PCI, como ha señalado, es obligatorio.

En ese caso, debe completar SAQ A-EP si se está autoevaluando.