¿Esta forma de usar el CIM PCI de Authorize.net es compatible?

1

Tenemos una aplicación web donde CIM de Authorize.NET y AIM se utilizan para las operaciones de pago. Cuando el usuario compra algo por primera vez, ingresa su número de CC y otra información de facturación en nuestro sitio. Esta información se ingresa y se transmite desde el navegador a nuestro servidor a través de una conexión no SSL. El sitio tampoco cumple con otras reglas de PCI-DSS (como las restricciones de contraseña). Luego, esta información de facturación se transmite desde nuestro servidor web a los servidores de Authorize.NET. El número de CC no lo guardamos nosotros mismos, pero almacenamos (de manera no encriptada) la fecha de caducidad de CC, los 4 últimos dígitos del número de CC, el nombre y el apellido del titular de la tarjeta. Cuando el usuario compra algo por segunda vez, debe elegir usar esta tarjeta de crédito existente para comprar algo.

El ID de inicio de sesión de API y la clave de transacción también se almacenan de forma no cifrada.

¿Es nuestro sitio compatible con PCI? ¿Es una forma correcta de usar CIM?

Editar: ¿Será suficiente simplemente cambiar a SSL en todo el sitio y no almacenar la fecha de caducidad del CC y los 4 últimos dígitos del número CC?

    
pregunta Andrei Botalov 06.09.2012 - 17:30
fuente

2 respuestas

4

Si está transmitiendo información de tarjeta de crédito a través de una conexión no SSL a sus servidores, no es compatible con PCI-DSS. Es un requisito que toda la información de identificación personal se transmite a través de conexiones seguras (encriptadas).

En cuanto al resto, el almacenamiento de información no cifrada: fecha de caducidad, etc., la respuesta depende de la clasificación de su compañía según las reglas de PCI-DSS; Si es una empresa pequeña, hay requisitos menos estrictos.

Recomiendo leer la documentación de PCI-DSS detenidamente antes de continuar con esto. Se puede encontrar aquí: enlace

Nota: una vez que crea que cumple, debe someterse a una prueba de cumplimiento realizada por una empresa de auditoría externa (uso SecurityMetrics pero no es la compañía más divertida de tratar). Por lo general, se realizan trimestralmente para garantizar el cumplimiento continuo.

    
respondido por el Jonathan Tullett 06.09.2012 - 17:46
fuente
3

Hay muchos factores que deben tenerse en cuenta para responder si su sitio es compatible con PCI o no, y dependiendo de qué tipo de proveedor está clasificado, es posible que deba contratar a un Asesor de seguridad calificado (QSA) Para verificar que usted es de hecho la queja de PCI. Cuando dice que la información de CC se transfiere a través de una "conexión no SSL", esta conexión está encriptada y, de ser así, solo utiliza algoritmos de encriptación que se consideren "fuertes". Si no está encriptado, y la información de CC viaja a través de una red pública (por ejemplo, Internet), puedo decirle ahora mismo que no es una queja de PCI.

La mejor manera de manejar este tipo de situaciones (en mi opinión), es pagar una pasarela de pago compatible con PCI que ofrezca un servicio de redirección. Es decir, cuando su cliente esté listo para pagar, será redirigido al sitio de la pasarela de pago donde se ingresará la información de CC. Una vez que se realice el pago, la pasarela de pago redirigirá al usuario a su sitio web. La pasarela de pago le proporcionará un número de transacción que podrá utilizar más adelante para reembolsos, o como referencia a la transacción.

Algunas de estas compañías también ofrecen soluciones para pagos recurrentes y casos de uso similares. Pueden proporcionarle un token que hace referencia a un CC real en su servidor.

Lo bueno de esto es que la información de CC nunca toca su infraestructura y, por lo tanto, solo tendrá que responder un Cuestionario de autoevaluación A (SAQ A). Estos también subcontratan toda la sobrecarga de PCI a un tercero. La desventaja de esto es que tiene que pagarle al tercero para que maneje todas sus transacciones, pero lo más probable es que la cantidad que les pagará sea menor que las multas que enfrentará si hay una falla en su infraestructura.

    
respondido por el w.c 06.09.2012 - 18:16
fuente

Lea otras preguntas en las etiquetas