¿Se aplica PCI SAQ A o A-EP para mi caso de uso?

Question

¿Se aplica PCI SAQ A o A-EP para mi caso de uso?

#1 de gowenfawr (2 votos)

0

Leí las preguntas frecuentes aquí y siento que no necesitamos ser compatibles con PCI, pero He leído muchas otras publicaciones, artículos, etc. que parecen contradecir mi suposición. Así que me preguntaba si alguno de ustedes puede arrojar algo de luz sobre esto. Aquí está mi caso de uso,

Somos una plataforma basada en suscripción, así que básicamente cobramos a los usuarios de forma recurrente una vez que se registran.

Actualmente usamos Stripe, PayPal & Amazon Payments como nuestros procesadores de pagos. Al utilizar estos servicios, nunca almacenamos, procesamos ni transmitimos datos de titulares de tarjetas a través de servidores.

Para PayPal hay una redirección completa a sus páginas para inicio de sesión y amp; aprobación.
Para Amazon Payments , se utiliza un widget de JavaScript para iniciar sesión en la cuenta de Amazon (proporcionada por el propio Amazon) y otorgarnos la aprobación.
Para Stripe , usamos su widget de Checkout para hacer el procesamiento completo de CC. Simplemente recibimos el token al final de la misma.

Es un poco confuso tratar de averiguar el nivel requerido de cumplimiento de PCI, si existe. Si debiéramos ser requeridos para el cumplimiento de PCI, existe una confusión adicional con respecto a si SAQ A o SAQ A-EP es aplicable para nosotros.

ACTUALIZAR

Parece que al menos usando Stripe estamos bien con solo SAQ A por su soporte al cliente.

credit-card pci-dss compliance pci-scope

pregunta Chantz 11.05.2015 - 21:22

fuente

1 respuesta

Lea otras preguntas en las etiquetas credit-card pci-dss compliance pci-scope

adjuntar certificado SSL Modelo de confianza PKI jerárquico

score 2 · Accepted Answer

Versión corta:

Pareces ser A-EP Pareces ser A , según los productos específicos a los que se hace referencia, pero debes preguntarle a tu procesador (s) para estar seguro.

Si por "widget de JavaScript de Amazon Payments" quiere decir Amazon Express Checkout , entonces está SAQ A -EP, porque "los elementos de la página de pago se originan en el sitio web del comerciante".

Amazon Payments "Iniciar sesión y pagar" es simplemente un botón que toma el sitio de los procesadores, y todo el pago se realiza en el sitio de los procesadores, por lo que técnicamente no hay "elementos de la página de pago (que) se originan en el comerciante sitio web ": la página de pago se encuentra en Amazon, ninguna en su sitio. Así que eso también debería ser SAQ A, aunque sería muy bueno si Amazon pusiera esto en su Preguntas frecuentes .

Fíjese, la distinción entre un enlace que envía a los clientes al sitio de los procesadores y un enlace que cita un iframe en el sitio de los procesadores y un enlace que utiliza solicitudes directas o de javascript para enviar datos de la tarjeta al sitio de los procesadores es, en términos de seguridad, completamente equivalente . En todos los casos, un atacante que comprometa el servidor web del comerciante puede afectar a dónde el cliente envía los datos de su tarjeta. La única diferencia significativa es que el cliente puede ver la URL del procesador en su barra de direcciones con algo como "Iniciar sesión y pagar", y asumimos que la gente lo comprueba y sabe que no debe realizar pagos de Amazon con aamazon.ru, incluso si tiene una cuenta válida. certificado.

O, en resumen, si esto te confunde, es porque es confuso. Una vez más, mejor preguntar a su procesador. Se supone que deben saber mejor.

Si por "Widget Checkout de banda" quiere decir Checkout , entonces es SAQ A-EP, porque " Los elementos de la página de pago se originan en el sitio web del comerciante. "

Según Stripe , aunque Checkout es un widget de JavaScript "it ya descansa dentro de un iframe controlado por Stripe , puedes continuar llenando SAQ A. " (énfasis mío)

Parecería que solo es SAQ A porque todos los formularios de verificación fueron recibidos por los procesadores y sus clientes fueron enviados a ellos antes de realizar la verificación o a través de un iframe .

Versión larga:

La distinción clave aquí se encuentra en la página iii de SAQ A :

La totalidad de todas las páginas de pago enviadas al navegador del consumidor se originan directamente de un proveedor (s) de servicio validado por PCI DSS de terceros

Si todos sus procesadores se invocan a través de un iframe, es probable que cumpla con este requisito. Pero si su "widget de javascript" o "widget de pago" se entrega desde sus servidores, entonces cae en SAQ A-EP. Sus procesadores, por supuesto, deberían poder decir cuáles son.

El hecho de que aparezca la palabra "widget de Javascript" aquí me sugiere que eres A-EP, pero no estoy lo suficientemente familiarizado con las ofertas de Amazon o Stripe como para saberlo realmente. Y, honestamente, no se espera que realmente sepas la diferencia, ellos sí.

El conjunto completo de expectativas para que se reúna un comerciante de SAQ A es el siguiente:

SAQ Un comerciante puede ser un comerciante de comercio electrónico o correo / pedido telefónico (tarjeta no presente), y no almacena, procesa ni transmite ningún dato del titular de la tarjeta en formato electrónico en sus sistemas o instalaciones.

Los comerciantes de SAQ A confirman que, para este canal de pago:


Su empresa solo acepta transacciones con tarjeta no presente (comercio electrónico o correo / teléfono);

Toda la aceptación y el procesamiento de pagos están completamente subcontratados a proveedores de servicios externos validados por PCI DSS;

Su compañía no tiene control directo sobre la manera en que se capturan, procesan, transmiten o almacenan los datos del titular de la tarjeta;

Su empresa no almacena, procesa ni transmite electrónicamente los datos de los titulares de tarjetas en sus sistemas o instalaciones, pero se basa totalmente   en un tercero (s) para manejar todas estas funciones;

Su empresa ha confirmado que todos los terceros que gestionan la aceptación, el almacenamiento, el procesamiento y / o la transmisión del titular de la tarjeta   los datos son compatibles con PCI DSS; y

Su compañía solo retiene informes en papel o recibos con datos del titular de la tarjeta, y estos documentos no se reciben electrónicamente.


Además, para canales de comercio electrónico:


La totalidad de todas las páginas de pago enviadas al navegador del consumidor se originan directamente desde un PCI DSS de terceros validado   proveedor (es) de servicios.