Descargo de responsabilidad: No soy un QSA; No soy un abogado
Mi pregunta es si quisiera ofrecer un servicio similar (es decir, hacer
compras en nombre de los consumidores con su información de cc), ¿debo (soy)
¿Son compatibles con PCI? O, es simplemente suficiente para (1) usar SSL en mi
¿El sitio y (2) nunca escribo información de CC en mi base de datos?
Sí, tendría que ser compatible con PCI. Estaría transmitiendo y posiblemente procesando los datos del titular de la tarjeta en nombre de los comerciantes. El almacenamiento de los datos del titular de la tarjeta es solo una de las tres cosas que son suficientes para ponerlo en su alcance.
Podrías hacerlo sin el cumplimiento de PCI de todos modos. Podrías estar fuera de los métodos normales de aplicación de PCI. Es posible que a Visa no le importe lo suficiente como para enviar abogados. Dicho esto, no recomendaría probar esas posibilidades en absoluto .
Ampliaré esto abordando el resto de tu pregunta.
Zinc.io parece cumplir con la definición de PCI de un proveedor de servicios :
Proveedor de servicios : entidad comercial que no es una marca de pago,
directamente involucrado en el procesamiento, almacenamiento o transmisión de
datos del titular de la tarjeta en nombre de otra entidad.
Como mínimo, están transmitiendo datos del titular de la tarjeta: la reciben y luego la envían al comerciante. Pueden o no pueden procesarlo.
No aparecen en el Registro Global de Proveedores de Servicios de Visa . Eso puede significar simplemente que son Proveedor de servicios de Nivel 2 , porque "Entidades que El deseo de estar en el Registro Global de Proveedores de Servicios debe validarse como proveedor de Nivel 1 ".
(IANAQSA, pero las únicas veces que escuché a un QSA mencionar los SP de nivel 2 fue para despedirlos).
Supongo que PCI considera que el titular de la tarjeta es una "entidad" a los efectos de esa definición. Si no, eso podría ser una laguna interesante. Porque la cosa realmente interesante es que no está claro que Zinc esté en la cadena de aplicación de PCI:
Sin establecer realmente una relación de trabajo con Amazon, Zinc
ha sido capaz de simplificar el proceso de pedido a una sola llamada
a la API.
Normalmente, un comerciante o proveedor de servicios debería
12.8.4 Mantener un programa para monitorear el estado de cumplimiento de PCI DSS de los proveedores de servicios al menos una vez al año.
pero el zinc no funciona con comerciantes o proveedores de servicios, se inyectan como intermediarios entre el cliente y el comerciante sin el conocimiento o consentimiento del comerciante . No se les hace responsables ante PCI, por lo que es muy probable que no estén realizando los pasos necesarios para proporcionar la protección obligatoria para los datos de la tarjeta de los clientes.
Dado que no enumeran nada sobre las PCI DSS, o su cumplimiento con las mismas, en su sitio web, es muy posible que estén trabajando bajo el supuesto de que no están sujetas a ellas, o pueden elegir ignórelo, sabiendo que el apalancamiento habitual que se utiliza para imponerlo no se puede usar en ellos (por ejemplo, ser descartado por comerciantes, ser descartado por procesadores / adquirentes, o ser multado en el contexto de sus relaciones PCI). O, quién sabe, podrían estar haciendo su SAQ cuidadosamente y obtener sus análisis ASV trimestrales sin mencionar eso ... ¿les ha preguntado?
Personalmente, desconfiaría de confiarles los datos de mi tarjeta. Su configuración TLS no me convence de que les importe mucho asegurándolo - a partir de este escrito, una B con RC4, SHA-1, DH débil y un certificado firmado por StartCom. Nada que infrinja los requisitos de PCI existentes, pero no es indicativo de una compañía que se está enfocando correctamente en la seguridad.