¿Cuenta la memoria RAM del servidor como almacenamiento para el cumplimiento de PCI?

Navega tus respuestas
1

Somos un sitio web de comercio electrónico. Estoy trabajando en nuestro cumplimiento de PCI en este momento, y estoy intentando, si es posible, argumentar que nuestra organización cumple con SAQ A en lugar de D. No hacemos detalles confidenciales de la tarjeta en una base de datos, medios físicos, etc. . Hemos pasado numerosas exploraciones PCI.

Nuestro flujo de pago es el siguiente:

  1. Añadir artículos a la cesta.
  2. Introduzca los detalles de la dirección.
  3. Mover a una nueva página, alojada en nuestro propio sitio web (que a su vez es generado por un servidor dedicado, alojado en un centro de datos compatible con PCI) donde el cliente ingresa los detalles de su tarjeta.
  4. Estos detalles luego se envían mediante HTTPS a nuestro servidor, donde se asignan a una variable y luego se colocan en CURL (con SSL) en nuestro procesador de pago de terceros.

Espero que, dado que los detalles de la tarjeta se conservan en la memoria RAM volátil en lugar de en cualquier almacenamiento permanente, aún podamos cumplir con la norma SAQ A. Si no lo hacemos, (y solo teniendo en cuenta los criterios anteriores) estaríamos bajo la norma SAQ C o SAQ ¿RE? Anteriormente me recomendaron SAQ C, pero parece estar reservado específicamente para las aplicaciones de pago de hardware, que no utilizamos.

    
pregunta flukeflume 31.01.2014 - 17:47
fuente

2 respuestas

6

No es almacenamiento, pero se trata, procesa y transmite.

Para calificar como SAQ A, debe poder indicar, 

"Your company does not store, process, or transmit any cardholder data
on your systems or premises, but relies entirely on a third party(s) 
to handle all these functions;"

Sin embargo, está transmitiendo datos del titular de la tarjeta, por lo tanto no califica.

Para SAQ C, parece que no calificas debido a: 

Your company does not otherwise receive or transmit 
cardholder data electronically through any channels
(for example, via an internal network or the Internet);

C solo está destinado a las empresas que ingresan la información de la tarjeta en su sitio después de tomar la información por medios no electrónicos (como la información de la tarjeta de crédito ingresada en un estado de cuenta enviado por correo).

Puede consultar con un especialista en PCI-DSS que pueda analizar su situación con más detalle, pero parece que se encuentra bajo el SAQ D.

Para evitar los requisitos de PCI-DSS, nunca deberá manejar o tocar los datos de PCI de ninguna manera. Deberá proporcionar el monto a facturar a un proveedor externo que se encargaría de la entrada de PCI y del procesamiento de pagos y luego le devolvería un código de recibo de pago vinculado a PCI.

    
respondido por el AJ Henderson 31.01.2014 - 17:59
fuente
0

Después de leer su descripción, suena como si fuera un SAQ C. Además, como un alimento para, aunque solicitaría una Declaración de cumplimiento de su procesador de pagos. Esto básicamente indicará que están en conformidad con PCI DSS. También para asegurarnos de que PCI DSS 3.0 ha sido lanzado y le sugiero que siga esta nueva versión debido a las actualizaciones. El siguiente sitio web proporciona buena información sobre cómo ayudarlo a determinar qué SAQ debe completar. Si expande los enlaces azules, verá detalles adicionales:

enlace

Pero en este momento ... confío en que va a necesitar completar un SAQ C. La razón es porque tú:

  • Acepte pagos en Internet a través de su sitio web de comercio electrónico
  • No almacena ningún número de tarjeta, pero sí los procesa y transita. a su procesador de pagos.
  • Por último, simplemente dirige a sus clientes a un pago de terceros procesador.

Esto cumple con los criterios para un SAQ C al leer las descripciones del enlace anterior.

    
respondido por el Tech_Spaniard 02.02.2014 - 23:03
fuente

Lea otras preguntas en las etiquetas

TrueCrypt en la carpeta de la nube compartida (Dropbox, Skydrive, ...) [cerrado] ¿Tengo razón al cambiar el algoritmo predeterminado en una aplicación web?