¿Cumplimiento de PCI-SAQ A-EP para el desarrollador del sitio web?

Navega tus respuestas
1

Formé parte de un equipo que desarrolló un sitio web de comercio electrónico (creado con Wordpress & WooCommerce) para un cliente. Utilizan StripeJS y PayPal Standard para procesar los pagos, y el sitio está alojado en un servidor dedicado con TLS de una autoridad de certificación confiable. El administrador de seguridad digital del cliente determinó que necesitaban PCI-DSS SAQ A-EP (que coincide con lo que Stripe say ). Hasta ahora, todo bien.

Sin embargo, ahora el banco del cliente ha solicitado copias de su PCI SAQ y nos ha pedido (como desarrolladores del sitio web) que completemos una copia del mismo SAQ además de a la copia del cliente / comerciante . El banco también solicitó por separado que la empresa de alojamiento haga lo mismo.

Que yo sepa, SAQ A-EP solo es aplicable al comerciante. Ciertamente podemos ayudarles a completarla, pero no creo que debamos estar haciendo una por separado. Alguien en la oficina sugirió que deberíamos completar el SAQ-D y enviarlo en su lugar, pero hasta donde puedo determinar, se supone que el SAQ D es para los comerciantes que no cumplen con ninguna otra categoría de SAQ. He sugerido que rechacemos esto, ya que todo parece poco claro.

¿Deberíamos nosotros, como desarrolladores web (que no estamos involucrados en absoluto con el procesamiento de pagos o el alojamiento), completar un documento SAQ por separado cuando el comerciante cumple con SAQ A-EP?

Nota: en este momento no tenemos una cláusula de responsabilidad contractual con ellos, ya que el sitio evolucionó rápidamente de un folleto estático a una tienda en línea completa en un período de tiempo muy corto. Lo remediaremos en breve. )

    
pregunta indextwo 23.11.2016 - 14:45
fuente

1 respuesta

4

tl; dr probablemente debería contactar a un QSA y pedirle que lo ayude a navegar por esto. Parece que el comerciante es lo suficientemente grande como para llamar la atención de su banco adquirente, lo que significa que debe estar en su juego.

No soy un QSA, ni soy tu QSA, pero sí trato con PCI bastante. Dependiendo de cómo haya implementado Stripe, el comerciante puede calificar para el SAQ A, que es mucho más preferido que el A-EP desde su perspectiva.

Sin embargo, si sigue adelante con el A-EP, aquí le explicamos por qué le piden cosas a usted y al proveedor de alojamiento:

  

Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros

El comerciante no desarrolló ningún software, confió en usted. Por lo tanto, el banco esperará que retire el final del requisito 6 y probablemente algunos otros (12 viene a la mente).

  

Requisito 1: instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta

     

Requisito 2: no utilice los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad

     

Requisito 5: Proteja todos los sistemas contra el malware y actualice periódicamente el software o los programas antivirus

     

Requisito 8: identifique y autentique el acceso a los componentes del sistema

     

Requisito 10: rastrear y monitorear todo el acceso a los recursos de red y los datos del titular de la tarjeta

     

Requisito 12: mantener una política que aborde la seguridad de la información para todo el personal

Es probable que todos estos sean aplicables de alguna manera al proveedor de hospedaje, así como a algunos que estoy seguro que perdí. Esto no menciona los requisitos adicionales para los proveedores de alojamiento compartido. Ahora, muchas empresas de alojamiento de renombre ya están evaluadas por PCI y pueden proporcionar un AOC a pedido (como AWS, por ejemplo).

Ahora, ya que ni usted ni el proveedor de hosting son realmente comerciantes a los ojos de los bancos, estaría llenando el SAQ D para proveedores de servicios. La mayoría de los requisitos se pueden marcar como N / A a menos que se apliquen (como el requisito 6). Luego, un funcionario autorizado de su empresa firmará la certificación de cumplimiento. Esto permite al comerciante marcar esos requisitos como N / A en su SAQ A-EP porque dependen de un proveedor de servicios (usted).

Divulgación: trabajo en Braintree, que compite con Stripe y es parte de PayPal, pero este mismo consejo se aplicaría también allí, a menos que haga el SAQ A como mencioné primero.

    
respondido por el John Downey 23.11.2016 - 15:44
fuente

Lea otras preguntas en las etiquetas

¿Ataques a “firmas” de la forma sha256 (mensaje || secreto)? ¿Cómo se genera una firma digital de un X.509?