¿Se requiere el cumplimiento de PCI-DSS con los botones de Donar / Pago de PayPal en los sitios web?

Navega tus respuestas
8

Lectura sobre PCI-DSS 3 recientemente: ¿Desea que me confirmen lo que estoy interpretando? ¿Necesita que PCI-DSS SAQ-A tenga enlaces de URL de pago o donación asociados con tarjeta de crédito en el sitio web de un comerciante?

Por ejemplo: Si una empresa o organización de beneficencia operó su página web con un botón de donación estándar de PayPal para una donación con un enlace para que PayPal acepte tarjetas de crédito, ¿su página web debe ser compatible con PCI-DSS o no?

Estoy confundido, pero esté o no incluido en SAQ-A, donde define las redirecciones de enlaces de URL.

VISA no parece incluir este escenario en su guía PCI-DSS: enlace

Si los enlaces requieren el cumplimiento de PCI-DSS, esto es bastante prohibitivo para algunas organizaciones de caridad que conozco: hospedar y mantener un sitio web que sea compatible con PCI-DSS puede ser demasiado complejo y costoso para su mantenimiento.

Como nota al margen, si la presencia de un botón de tarjeta de crédito que acepta PayPal significa que el sitio web del comerciante debe ser compatible con PCI-DSS, colocar un enlace en el propio sitio del comerciante no puede ser menos seguro que compartirlo en ¿Redes sociales (Facebook, Twitter) u otras plataformas para compartir (Twitch, tablones de anuncios / foros)? ¿Afecta esto a los enlaces URL directos a una página de pago con tarjeta de crédito de PayPal desde la página de redes sociales de un comerciante?

Mi lección a aprender puede ser tener más cuidado con los formularios de pago con tarjeta de crédito.

He comprobado otras preguntas similares pero no abordan el uso de los botones de PayPal. Una situación similar sería usar Razoo.

Editar: Después de leer un poco más, el comerciante debe prestar atención al cumplimiento de PCI-DSS. El punto de partida práctico para la autoevaluación sería SAQ A para todos los propósitos y propósitos. Falta la documentación pública de PayPal, pero he encontrado algunas recomendaciones de Recurly: enlace

  

Un comerciante siempre debe ser compatible con PCI si acepta pagos con tarjeta de crédito en línea (incluso si la tarjeta se ingresa en otro sitio). Si usa HPP, la recomendación de Recurly es completar SAQ A.   (HPP - páginas de pago alojadas)

    
pregunta Chislon Chow 31.01.2016 - 08:39
fuente

2 respuestas

4

El comerciante o la organización benéfica que acepta solo PayPal, y utiliza un mecanismo que redirige al cliente / donante al sitio de PayPal, no maneja la tarjeta de crédito en absoluto. PayPal hace eso, cobra una tarifa por el servicio y remite el resto al comerciante.

Por lo tanto, PayPal tiene que cumplir con PCI-DSS, pero el comerciante que utiliza solo y lo hace con la redirección a PayPal no lo hace. El banco del comerciante puede solicitarles que completen el Cuestionario de autoevaluación A. Esto se aplica de la siguiente manera: "Los comerciantes de SAQ A pueden ser comerciantes de comercio electrónico o de correo / pedidos telefónicos (tarjeta no presente), y no almacenan, procesan, o transmitir cualquier dato del titular de la tarjeta en formato electrónico en sus sistemas o instalaciones ". Completarlo en su mayoría requerirá marcar "No Aplicable".

    
respondido por el Bob Brown 31.01.2016 - 13:43
fuente
3

PCI se aplica a CUALQUIER organización o comerciante, independientemente del tamaño o el número de transacciones, que acepte, transmita o almacene cualquier información del titular de la tarjeta. Dicho de otra manera, si algún cliente de esa organización le paga al comerciante directamente con una tarjeta de crédito o débito, se aplican los requisitos de PCI DSS.

enlace

Pero: de acuerdo con la Sage Pay Benchmark Report una cuarta parte de los propietarios de tiendas en línea ni siquiera saben sobre PCI-DSS. Y mucho más nunca lo implementas. La solución es simple: para evitar la certificación costosa, las tiendas no almacenan NINGUNA información de la tarjeta de crédito, por lo que no tienen la obligación de cuidarlas. Por supuesto, esta solución se basa en la seguridad de la transmisión.

    
respondido por el AdHominem 31.01.2016 - 11:04
fuente

Lea otras preguntas en las etiquetas

Prefijos de nombre de tabla de base de datos y seguridad por oscuridad ¿Cómo puedo verificar que un certificado raíz es auténtico?