¿Es compatible con zinc.io PCI (/ tiene que serlo)?

2

zinc.io proporciona una API de compras para comprar artículos en Amazon, Best Buy y Walmart mediante programación. Una breve observación de su API nos dice que la información de la tarjeta de crédito está siendo enviada y utilizada por su servidor: ejemplo .

Parece que en materia de seguridad ellos:

  1. usar cifrado SSL
  2. nunca almacena la información de CC (aunque sí dicen que pueden tenerla en la memoria)

De sus Preguntas frecuentes : "Utilizamos el cifrado SSL de 256 bits de nivel industrial en todos los puntos finales de API. Su número de tarjeta e inicio de sesión los detalles están en la memoria del servidor solo durante la duración de cada solicitud. "

Eso es todo (aunque la verdad es que no hay manera de saber con certeza si no son compatibles con PCI, pero nada en su sitio web parece sugerir lo contrario).

Mi pregunta es, si quisiera ofrecer un servicio similar (es decir, hacer compras en nombre de los consumidores con su información de cc), ¿debo (o son?) cumplir con PCI? O, ¿es simplemente suficiente para (1) usar SSL en mi sitio y (2) nunca escribir información de CC en mi DB?

EDIT:

¡Así que terminé recibiendo una respuesta de la gente en zinc.io después de todo! Esto es lo que tenían que decir:

  

Hola,

     

Disculpe la respuesta retrasada: notamos su pregunta aquí como   bien :) Todavía estamos funcionando.

     

La respuesta que recibió allí fue muy detallada y en su mayoría precisa.   Sin embargo, de hecho somos compatibles con PCI, en nuestra escala de operación es   se auto impone, por lo que el comentario sobre "obtener su ASV trimestral   Las exploraciones y no mencionarlo "no se aplican aquí. Cumplimos con   Todo en el SAQ.

     

Saludos, Max

    
pregunta youngrrrr 07.06.2015 - 04:07
fuente

1 respuesta

1

Descargo de responsabilidad: No soy un QSA; No soy un abogado

  

Mi pregunta es si quisiera ofrecer un servicio similar (es decir, hacer   compras en nombre de los consumidores con su información de cc), ¿debo (soy)   ¿Son compatibles con PCI? O, es simplemente suficiente para (1) usar SSL en mi   ¿El sitio y (2) nunca escribo información de CC en mi base de datos?

Sí, tendría que ser compatible con PCI. Estaría transmitiendo y posiblemente procesando los datos del titular de la tarjeta en nombre de los comerciantes. El almacenamiento de los datos del titular de la tarjeta es solo una de las tres cosas que son suficientes para ponerlo en su alcance.

Podrías hacerlo sin el cumplimiento de PCI de todos modos. Podrías estar fuera de los métodos normales de aplicación de PCI. Es posible que a Visa no le importe lo suficiente como para enviar abogados. Dicho esto, no recomendaría probar esas posibilidades en absoluto .

Ampliaré esto abordando el resto de tu pregunta.

Zinc.io parece cumplir con la definición de PCI de un proveedor de servicios :

  

Proveedor de servicios : entidad comercial que no es una marca de pago,   directamente involucrado en el procesamiento, almacenamiento o transmisión de   datos del titular de la tarjeta en nombre de otra entidad.

Como mínimo, están transmitiendo datos del titular de la tarjeta: la reciben y luego la envían al comerciante. Pueden o no pueden procesarlo.

No aparecen en el Registro Global de Proveedores de Servicios de Visa . Eso puede significar simplemente que son Proveedor de servicios de Nivel 2 , porque "Entidades que El deseo de estar en el Registro Global de Proveedores de Servicios debe validarse como proveedor de Nivel 1 ".

(IANAQSA, pero las únicas veces que escuché a un QSA mencionar los SP de nivel 2 fue para despedirlos).

Supongo que PCI considera que el titular de la tarjeta es una "entidad" a los efectos de esa definición. Si no, eso podría ser una laguna interesante. Porque la cosa realmente interesante es que no está claro que Zinc esté en la cadena de aplicación de PCI:

  

Sin establecer realmente una relación de trabajo con Amazon, Zinc   ha sido capaz de simplificar el proceso de pedido a una sola llamada   a la API.

Normalmente, un comerciante o proveedor de servicios debería

  

12.8.4 Mantener un programa para monitorear el estado de cumplimiento de PCI DSS de los proveedores de servicios al menos una vez al año.

pero el zinc no funciona con comerciantes o proveedores de servicios, se inyectan como intermediarios entre el cliente y el comerciante sin el conocimiento o consentimiento del comerciante . No se les hace responsables ante PCI, por lo que es muy probable que no estén realizando los pasos necesarios para proporcionar la protección obligatoria para los datos de la tarjeta de los clientes.

Dado que no enumeran nada sobre las PCI DSS, o su cumplimiento con las mismas, en su sitio web, es muy posible que estén trabajando bajo el supuesto de que no están sujetas a ellas, o pueden elegir ignórelo, sabiendo que el apalancamiento habitual que se utiliza para imponerlo no se puede usar en ellos (por ejemplo, ser descartado por comerciantes, ser descartado por procesadores / adquirentes, o ser multado en el contexto de sus relaciones PCI). O, quién sabe, podrían estar haciendo su SAQ cuidadosamente y obtener sus análisis ASV trimestrales sin mencionar eso ... ¿les ha preguntado?

Personalmente, desconfiaría de confiarles los datos de mi tarjeta. Su configuración TLS no me convence de que les importe mucho asegurándolo - a partir de este escrito, una B con RC4, SHA-1, DH débil y un certificado firmado por StartCom. Nada que infrinja los requisitos de PCI existentes, pero no es indicativo de una compañía que se está enfocando correctamente en la seguridad.

    
respondido por el gowenfawr 07.06.2015 - 06:54
fuente

Lea otras preguntas en las etiquetas