Cumplimiento de PCI y PayPal

Navega tus respuestas
6

Primero, por favor perdona mi ignorancia. Hasta esta semana, la única "seguridad de la tarjeta de crédito" que entendía era cómo hackear sistemas y por qué escribir páginas PHP con los tipos de funciones que hago (msqli, pdo, consulta parametrizada, etc.). De acuerdo con mi ignorancia involucrada, haré esta pregunta tan sólida como pueda, intentando no complicarla en exceso. (Tal vez demasiado tarde ahora)

Revisé todas las Q de Cumplimiento de PCI aquí, así como Googled hasta el extremo durante 2 días y todavía tengo algunas preguntas, antes de comenzar a preparar un Informe de PoA para presentarlo a mi empleador en la final de esta semana.

Me enviaron un correo electrónico de PayPal sobre el cumplimiento de PCI y desde entonces aprendí que, debido a nuestro uso de la función PP SDK DirectPayment , debemos obtener el cumplimiento y la certificación. Al hacer eso, investigué y verifiqué nuestra implementación actual de SSL y checkout. No almacenamos ninguna información más allá de la devolución de PayPal, que incluye los últimos cuatro de un CC, pero nada más. Hay un período corto (desde la página de revisión hasta la finalización del pedido) en el que la información se almacena a través de $_SESSION , y se elimina al completar el paso final; sea exitoso o no.

Mis preguntas

  1. ¿Este paso temporal de información de usuario de CC cumple con PCI?
  2. Al convertirse en compatible con PCI, ¿es realmente tan simple como parece?
    • a. Obtenga un análisis de conformidad de un proveedor certificado
    • b. Complete un SAQ de PCI DSS
  3. Sobre ese SAQ, todavía tengo problemas, a pesar de mucha revisión, ¿entiendo exactamente qué cuestionario necesitamos?
    • a. Como lo entiendo actualmente, creo que encajamos en la categoría: C-VT
    • b. Consulte Checkout Info a continuación
  4. Nuestro SSL actual es con COMODO. ¿Alguien puede decirme que, si usamos la misma compañía para nuestro escaneo de Cumplimiento de PCI, todavía podríamos recibir el conjunto completo de servicios que recibimos de PayPal?
    • a. He intentado preguntarle a PayPal acerca de esto y sigo obteniendo respuestas improvisadas que aún no han respondido a ninguna pregunta que les he hecho. (puede ser el segundo peor servicio al cliente que he experimentado)
    • b. Referencia a la línea de la documentación de cumplimiento de PCI de PayPal: What happens if my business doesn't comply? From a PayPal perspective, your Website Payments Pro account may be limited and eventually suspended. Por lo tanto, me pregunto, ¿es viable algún cumplimiento, o tiene que ser a través de uno de los proveedores mencionados, de los cuales COMODO no figura en la lista? .

Información de pago Tenemos 3 formas de pago

  1. A través del método de SDK de PayPal mencionado anteriormente DirectPayment . Usamos un formulario, rellenamos el lado del cliente y almacenamos temporalmente a $_SESSION para recopilar la información necesaria para "enviar el pago". Una vez enviado, todos los datos de $ _SESSION se borran y los datos devueltos se guardan junto con los datos de la orden, si es exitoso. Si se produce un error, los datos del pedido se mantienen en la sesión, pero la información de CC se elimina y se le pide al usuario que intente nuevamente o que intente un método de pago diferente.
  2. A través del botón de PayPal Express. Simple como eso. Nuevamente, los datos de retorno se almacenan, pero a diferencia de los datos de retorno de DirectPayment , ni siquiera se almacenan los últimos cuatro de CC. Solo la información del pedido, el precio y la devolución de PayPal Express JSON.
  3. Por teléfono, nuevamente utilizando DirectPayment . Uno de nuestros representantes simplemente recopila la misma información que el usuario ingresaría en el sitio público, la ingresa en una versión CRM del mismo formulario y se sigue el mismo proceso. La principal diferencia es que el representante regresa a la página principal de CRM Y NO se necesita $_SESSION de almacenamiento, ya que solo envían el formulario directamente después de revisar la información telefónica con el cliente.

Nuevamente, las más sinceras disculpas si mis preguntas ya están respondidas aquí y simplemente las ignoro o si no entiendo algo que debería.

Gracias de antemano por cualquier ayuda.

    
pregunta SpYk3HH 11.11.2014 - 21:30
fuente

1 respuesta

5
  1. En primer lugar, los métodos de pago número 1 y 3 requieren que usted sea compatible con PCI, no importa cuánto tiempo almacene esa información, en el momento en que toque los datos del titular de la tarjeta, debe ser compatible con PCI. Dependiendo de lo que haga con los datos (por ejemplo, el almacenamiento) se pueden aplicar diferentes requisitos.
  2. Bueno, la parte fácil es hacer el SAQ real y ser auditado, la parte difícil es realmente configurar su entorno para que realmente pase la auditoría.
  3. Debido a que está almacenando temporalmente la información de CC en una sesión, me inclino más por SAQ D. Recuerde que C-VT no requiere el almacenamiento de datos de CC y que los terminales utilizados para ingresar pagos deben estar aislados en una ubicación única y no conectado a otros sistemas en su entorno. La implementación más común es a través de terminales de clientes ligeros o sistemas individuales con acceso dedicado a Internet y restricciones de cortafuegos basadas en host.
  4. Si COMODO es un proveedor de escaneo acreditado (ASV), no debería haber ningún problema.
respondido por el Lucas Kauffman 11.11.2014 - 23:13
fuente

Lea otras preguntas en las etiquetas

Evaluación de seguridad: ¿qué hay aparte de los criterios comunes? ¿Qué tan resistente es el cifrado del iPhone contra ataques de fuerza bruta?