Tengo un formulario web en el que mi cliente ingresa los detalles de su tarjeta de crédito junto con otra información. Entonces envío estos datos a mi servidor backend. Guardo la información no confidencial en mi base de datos. NO almaceno los detalles del cc, sino que los paso a través de https a un tercer lado.
¿Expongo a mis clientes a algún riesgo? ¿Debo preocuparme por el PCI? ¿Cuál sería la mejor práctica para pasar tales detalles a un tercer lado?
A medida que maneja los datos de los titulares de tarjetas, está dentro del alcance de la PCI y debe ser compatible.
Dependiendo del volumen de datos del titular de la tarjeta que está manejando, es posible que pueda realizar una autoevaluación en lugar de requerir una evaluación en el lugar realizada por un QSA.
Debe asegurarse de recibir los datos de la tarjeta a través de una implementación segura de HTTPS, es decir, usar TLS v1.1 o TLS v1.2. Puedes probar esto en ssllabs.com
Debe asegurarse de que el tercero con el que está involucrado y quién maneja los datos del titular de la tarjeta de sus clientes sea compatible con PCI.
En cuanto a otros riesgos, debe asegurarse de que la interfaz web / formulario presentado al cliente se haya desarrollado utilizando procesos seguros de ciclo de vida de desarrollo de software. Además, revise las PCI DSS ya que hay muchos requisitos para implementar y procesos de seguridad que cumplir.
@AndyMac tiene razón en todos los detalles, pero para ser claros, de acuerdo con PCI DSS :
PCI DSS también se aplica a todas las demás entidades que almacenan, procesan o transmitir datos del titular de la tarjeta (CHD) y / o datos confidenciales de autenticación (SAD).
Cuando dices "NO almaceno los detalles de cc, sino que los pasas de https a una tercera parte" estás describiendo el acto de transmitir CHD, y eso te pone en el alcance de PCI.
De hecho, si acepta tarjetas de crédito para pago, está sujeto a PCI. La menor cantidad posible de alcance es calificar para SAQ A-EP, que requiere una solución como iframes que garantice que los datos de la tarjeta vayan directamente a su procesador y no a usted. Pero incluso entonces, todavía tienes 12 o más preguntas de SAQ A-EP para satisfacer.