Un poco confundido sobre el cumplimiento de PCI

Viene de una persona que se encuentra en medio de problemas de cumplimiento de PCI en este momento ... no. No necesita ser compatible con pci si está utilizando un servicio de terceros para ingresar y manejar sus tarjetas de crédito. Una si mis clientes más pequeños tienen un sitio de comercio especializado en joyería.

Mientras no se ingresen datos de los titulares de tarjetas (PAN, banda magnética, bloqueo de PIN, etc.) (y especialmente almacenados) en sus sistemas, deje que el proveedor que procesa el pago se haga cargo de toda la carga.

Para verificar si esto es cierto, solo debe entregar una cantidad específica de los fondos adeudados o una lista detallada a su proveedor. Si les está dando detalles de la transacción más allá de esto, deberá consultar al menos un cuestionario de cumplimiento básico.

Tenga en cuenta que no estoy familiarizado con su proveedor. Si es algo como PayPal, esto será cierto.

Si entiendo su situación correctamente, el sitio de su cliente no necesita ser compatible con PCI, pero su cliente es responsable de seleccionar un proveedor de servicios de pago (PSP) externo que sea compatible con PCI. La forma más segura de verificar el cumplimiento es mirando la lista global de VISP de PSP compatibles y confirme que la empresa que planea usar esté en la lista. La lista está aquí enlace Solía ser un documento pdf que tenía que descargar y buscar, pero recientemente cambiaron a una lista en línea en la que se puede buscar.

El banco final de sus clientes (donde terminan los fondos de las transacciones con tarjeta) es el árbitro final de lo que incluyen o no exactamente sus requisitos de cumplimiento, por lo que es mejor consultar con ellos también.

Actualizado: En realidad, acabo de volver a leer su pregunta original y, después de todo, el sitio de su cliente PUEDE debe ser compatible con PCI, según cómo esté implementando la funcionalidad de pago. Se requiere el cumplimiento de PCI si un sitio tiene números de tarjeta de PROCESAMIENTO, ALMACENAMIENTO o TRANSMISIÓN. Por lo que dice, no está procesando ni almacenando los detalles de la tarjeta, pero su sitio puede estar transmitiéndolos. Cuando el cliente de su cliente realiza un pedido, si ingresan su número de tarjeta en un formulario que se publica en su sitio y luego lo reenvía a Stripe, ahora está transmitiendo los detalles de la tarjeta, incluso si solo tiene en su sitio para un microsegundo Sin embargo, algunos PSP tienen una forma de realizar la funcionalidad de pago donde los detalles de la tarjeta se publican directamente en ellos y los datos de la tarjeta nunca llegan a su sitio. Si lo que hace Stripe es lo último, entonces mi respuesta original aún se aplica. si es el primero, entonces es probable que el sitio de su cliente necesite exploraciones trimestrales. Nuevamente, vuelvo al hecho de que es el banco adquirente el que realmente toma la decisión final sobre cuáles son sus requisitos de cumplimiento.

Para comprender su propia carga de cumplimiento, debe comprender los objetivos de PCI. El comentario anterior de que tiene una carga de cumplimiento debido a que la información de su tarjeta de TRANSMISIÓN es verdadera. Sin embargo, si no tiene cuidado con los datos (sin tarjeta de crédito) que almacena: nombre del titular de la tarjeta, dirección de envío, correo electrónico, etc., entonces podría encontrarse en medio de una costosa auditoría de PCI (o más bien lo hará su cliente). Los hackers por definición no son personas honestas.

¿Qué pasa si simplemente piratean su base de datos, reciben todos los correos electrónicos del comprador y luego envían un correo electrónico a todos sus compradores diciendo que han pirateado el eStore de su cliente y han obtenido la información de la tarjeta de crédito de todos (incluso si la parte de datos de la tarjeta de crédito es una mentira)? ¿Información precisa de adersos de envío como prueba de que tienen los datos? La tienda de su cliente perderá muchos negocios y tendrá que pagar por una auditoría de PCI.

El cumplimiento de la PCI pone la carga sobre usted para evitar que esto suceda. He visto que esto le sucede a algunos (antiguos) clientes: "antiguos" porque abandoné el proyecto cuando no pagaban la cuenta por las medidas de seguridad adecuadas. Fue llamado de nuevo post-compromiso. Si no mantienen seguros sus datos, los piratas informáticos encontrarán la manera de hacerles pagar ...