Auditoría de PCI: usando tarjetas de "prueba"

10

Sé que el estándar PCI no le permite usar números de tarjeta de crédito reales en los sistemas de prueba. Visa, Mastercard y Amex proporcionan una lista de tarjetas de "prueba" para usar. Tiene mucho sentido, y hemos estado haciendo eso.

Ahora, una vez que todo está configurado en producción, a menudo necesitamos probar el sistema antes de permitir que los clientes lo utilicen. Tenemos una tarjeta Visa prepaga que hacemos para las pruebas finales. Así que esto está en nuestro sistema de producción, con nuestra pasarela de pago que apunta al procesador de pago de producción. Es 100% el valor que los clientes utilizarán. Queremos verificar los descriptores (lo que aparece en la declaración) y solo comprobar que todo funcione.

Nuestro tipo de PCI dice que esto está totalmente prohibido. Las tarjetas de crédito en vivo no se pueden utilizar para la prueba. ¿Es esto cierto? Si es así, ¿cómo haces tu prueba final? Por supuesto, cualquier tarjeta de "prueba" fallará, ya que no son tarjetas válidas. Necesitamos la tarjeta para trabajar, para verificar la experiencia completa del usuario.

    
pregunta AviD 22.01.2012 - 18:04
fuente

3 respuestas

8

Pregúntele cómo puede asegurarse de que su sistema esté funcionando, si no puede realizar una prueba con una tarjeta real, de su propiedad. Además, ¿qué decir que estás probando? Tal vez usted está haciendo su propio pedido para su uso. ;)

La regla está diseñada para evitar que agarre todos los números de tarjetas de crédito de sus clientes y trate de usarlos en su entorno de desarrollo.

    
respondido por el devicenull 22.01.2012 - 18:21
fuente
1

Una forma de hacer este tipo de prueba es escribir un emulador de procesador de pagos. Escriba un pequeño programa que implemente el mismo protocolo que su procesador de pagos. Puede que tenga que leer entre las líneas de la documentación del procesador de pagos para hacer esto, pero se puede hacer.

Luego, puede usar cadenas de 16 dígitos en formato de número de tarjeta de crédito (suma de comprobación de Luhn) que no coincida con ningún BIN o IIN real. Puede hacer casos de prueba como un tiempo de respuesta realmente largo, respuestas con formato incorrecto, respuestas cortas y un "número de tarjeta de crédito" que tiene un límite de crédito. También puede tener "números de tarjeta de crédito" que producen declinaciones específicas.

Haga que el emulador siempre rechace una solicitud de autorización de pago que tenga un número de tarjeta de crédito bien formateado. Solo autorice algunos "números de tarjeta de crédito" específicos que no pueden existir en la vida real porque el BIN o el IIN no coinciden con los de un banco real. De esa manera, cuando el proyecto de alguien se pone en marcha y lo deja apuntado a su emulador o sistema de prueba, el emulador no emitirá autorizaciones falsas, lo que causaría que su sistema de contabilidad tenga problemas con un pago real que no se presente en la liquidación.

    
respondido por el Bruce Ediger 07.10.2012 - 05:30
fuente
0

Estaba pensando que estaba cubierto por PCI DSS, pero no puedo encontrarlo en la sección 3 explícitamente cubierta de PCI DSS 3.1. Me perdí esto o esto más de un requisito de procesador / puerta de enlace. En cualquier caso, sigue siendo una buena idea para las cuentas de prueba.

Tenemos clientes que tienen la misma necesidad. Una opción es almacenar algunas transacciones reales si usa tarjetas de guardado y luego ejecutarlas como las primeras transacciones. Esto es más problemático en un entorno de tarjeta presente. Hemos hecho que los clientes realicen la transacción a través de una tarjeta de la empresa y el crédito la tarjeta de crédito inmediatamente después.

Hay una necesidad real de confirmar la configuración de la cuenta en vivo para todos los tipos de tarjetas. Visa / MasterCard puede funcionar pero Discover o AMEX. La validación de direcciones, la validación de CVV no se puede hacer completamente como transacciones de prueba o como cuentas de prueba.

Tampoco soy un QSA, pero entiendo que esto es aceptable por PCI DSS y por su puerta de enlace / procesador. Desea asegurarse de no revertir demasiadas transacciones ya que puede activar una alerta relacionada con demasiadas reversiones, ya que esto puede ser una señal de fraude.

    
respondido por el Marty Acks 13.01.2016 - 20:58
fuente

Lea otras preguntas en las etiquetas