¿Alguno y todos los proveedores de software que han almacenado información de tarjetas de crédito en sus bases de datos están sujetos a PCI-DSS o solo a algunos?

Navega tus respuestas
5

Es un proveedor de software comercial que vende software para uso en los Estados Unidos, sujeto a, o legalmente requerido para implementar PCI-DSS si su software incluye una característica que permitirá la recopilación y el almacenamiento de información de la tarjeta de crédito, pero que no realiza el procesamiento de pagos como parte de las características del software.

Dicho proveedor de software NO procesaría el pago utilizando este software, sino que simplemente cifraría y almacenaría la información de la tarjeta de crédito con el fin de simplificar el procesamiento de pago manual utilizando el software de otro proveedor. Es decir, este proveedor de software hipotético simplemente está produciendo software que puede comunicarse con otros sistemas de pago, pero que no es un sistema de pago basado en software en sí mismo. (Por ejemplo, tal vez se comunique con Digital River u otros sistemas de procesamiento de pagos en línea y almacene la información de la tarjeta de crédito en una base de datos, en forma cifrada).

    
pregunta Warren P 23.10.2012 - 18:53
fuente

2 respuestas

7

En primer lugar, PCI-DSS se aplica a ambientes , no a productos.
En otras palabras, se aplicaría a su sitio web, pero no al producto empaquetado que vende a sus clientes.
Por otro lado, podría aplicarse a sus clientes , quienes luego necesitarían que su producto se ajuste a su cumplimiento.

Con este fin, los becarios de PCI presentaron PA-DSS : esto se aplica a Productos, que se pueden instalar en entornos de clientes (que luego se requerirían para cumplir con PCI).

Ahora, con respecto a su producto específico: PA-DSS se aplicaría absolutamente, ya que almacena o procesa datos de la tarjeta (incluso sin procesar el pago).

De las Preguntas frecuentes de PA :

  

A los fines de las PA-DSS, una aplicación de pago elegible   para revisión y listado por el PCI SSC se define como una   aplicación que:
  a) almacena, procesa o transmite datos del titular de la tarjeta como parte de   autorización o liquidación;
  y
  b) se vende, distribuye o licencia a terceros

    
respondido por el AviD 23.10.2012 - 19:11
fuente
2
  

Es un proveedor de software comercial que vende software para su uso en el   Estados Unidos, sujeto a, o legalmente requerido para implementar PCI-DSS si   Su software incluye una característica que permitirá la recolección y   Almacenamiento de información de tarjeta de crédito, pero que no hace pago.   ¿Se procesa a sí mismo como parte de las características del software?

NO. No están legalmente obligados a implementar PCI-DSS. De hecho, NOBODY está "legalmente obligado" a implementar PCI-DSS. Eso implica que hay una ley que lo manda. No hay. PCI-DSS es un requisito CONTRACTUAL si tiene una cuenta de comerciante.

Los clientes que usan el software para tomar la información de la tarjeta de crédito deberán cumplir con la norma PCI. Y es posible que se les requiera usar solo software compatible con PA-DSS. Si tienen un carrito de compra propio, no es necesario que cumplan con las PA-DSS. Si utilizan una aplicación de terceros que se vende / distribuye (como la suya, presumiblemente) debe ser compatible con PA-DSS. "PA-DSS NO se aplica a las aplicaciones de pago ofrecidas por proveedores de aplicaciones o servicios solo como un servicio (a menos que dichas aplicaciones también se vendan, tengan licencia o se distribuyan a terceros." - enlace (debe leer este documento)

Pero ese es su problema, no el tuyo a menos que lo hagan tuyo al negarse a comprar tu software (lo cual es completamente posible).

Si no tiene una cuenta de comerciante y el contrato que la acompaña, PCI no es su problema. No, a menos que aceptes convertirlo en tu problema para un cliente.

    
respondido por el Tracy Reed 08.05.2013 - 21:40
fuente

Lea otras preguntas en las etiquetas

Permitir que una PA vea los correos electrónicos de un director, pero mantenga algunos correos electrónicos privados ¿Hay una lista de cifrados SSH débiles?