Requisitos de la pasarela de pago en línea

5

He estado buscando una pasarela de pago en línea, authorize.net , y específicamente su Método de publicación directa. Este método me permitiría crear un formulario en mi servidor y luego enviar los parámetros de publicación directamente a su servidor para su procesamiento. Así que nunca abandonas mi sitio como cliente, pero mi servidor solo puede ver la respuesta, no la información de pago inicial.

Una pregunta en la que he pensado es el cumplimiento de PCI. He estado leyendo los comentarios de este blog de authorize.net . Existe un argumento sobre si el servidor que tiene el formulario debe cumplir con PCI. Algunos dicen que sí, porque el formulario está en su sitio que tiene su URL y hay información de la tarjeta de crédito. Otros dicen que no porque el formulario se envía directamente a authorize.net y la información de la tarjeta de crédito ni siquiera llega al servidor del comerciante.

He leído en algunos lugares de su sitio que el método de publicación directa "simplificará el cumplimiento de PCI del comerciante" o "aliviará algunas de las preocupaciones sobre la seguridad". ¿Cómo se simplifica exactamente el cumplimiento de PCI? Entonces, mi pregunta es si mi sitio debe ser compatible con PCI y, en caso afirmativo, ¿cómo puede esto simplificarlo?

Una pregunta relacionada es la clave de transacción. Authorize.net dice para almacenar de forma segura la clave. ¿Cómo se almacenan las claves de forma segura en un servidor? (sin un HSM) ¿Esta clave se considera parte de PCI?

    
pregunta Ryan 01.05.2013 - 22:07
fuente

3 respuestas

5

Si sus servidores no almacenan, procesan ni transmiten datos de titulares de tarjetas en ningún momento, sus sistemas no están dentro del alcance del cumplimiento de PCI y efectivamente ha subcontratado el manejo de dichos datos a authorize.net. significa que el PCI se simplifica porque tiene un alcance reducido y completaría un cuestionario de autoevaluación (SAQ) menos oneroso. Como comerciante, debe ser compatible en lugar de que su sitio deba ser compatible. La forma en que maneja los datos del titular de la tarjeta determina qué SAQ debe completar: si ha subcontratado el manejo de los datos del titular de la tarjeta, completará el SAQ A, que es bastante simple.

Visa y MasterCard tienen pautas sobre cómo deben protegerse las aplicaciones web cuando el manejo de transacciones se ha subcontratado, como el uso de páginas de pago alojadas. La preocupación es que la aplicación podría ser manipulada y la transmisión de datos del titular de la tarjeta redirigida (o copiada) a un tercero.

Los requisitos incluyen un ciclo de vida de desarrollo seguro, exploración de vulnerabilidades, registro y monitoreo de integridad de archivos.

Debería considerar el almacenamiento de la clave de transacción por separado de la aplicación, como el cifrado dentro de la base de datos o en un almacén de archivos separado con controles de acceso sólidos.

    
respondido por el AndyMac 01.05.2013 - 23:09
fuente
3

Primero, no soy abogado, debe hablar con un abogado o un especialista de PCI en lugar de con una persona aleatoria en Internet. Dicho esto, mi entendimiento de Direct Post es que el cliente envía el PCI al servidor de Authorize.Net. Su servidor nunca lo toca, por lo que no debe requerir el cumplimiento de PCI. PCI-DSS solo requiere que los sistemas que tocan PCI sean compatibles y, estrictamente hablando, el único intercambio de PCI es entre el navegador del cliente y el servidor de Authorize.Net.

Dicho esto, aún sería prudente tratar de seguir muchas de las pautas, ya que un compromiso de su servidor podría comprometer fácilmente el lugar donde se envía el PCI (como JavaScript malicioso que altera la dirección POST del formulario). El argumento en el sitio de Authorize.Net probablemente se relacione con el hecho de que un compromiso de su servidor todavía puede comprometer la integridad de la transacción, pero PCI-DSS aún no ha alcanzado este riesgo y aún es técnicamente algo que un consumidor inteligente podría Detectar y prevenir, ya que su sistema es el que está siendo engañado para hacer lo malo.

    
respondido por el AJ Henderson 01.05.2013 - 23:05
fuente
0

Su 'solución' tiene un gran problema: debe ingresar su ID de Authorise.net y su clave de API para que A.net pueda procesar la transacción y enviar el dinero al lugar correcto.

Todo lo que un pirata informático tendría que hacer para obtener la clave API y la ID A.net es hacer clic derecho y seleccionar 'Ver código fuente' para obtener la clave API y la ID A.net del comerciante. Si intentas bloquearlo con un poco de Javascript cojo, el pirata informático simplemente guardará la página en su disco duro y luego la mirará y obtendrá la clave de ID / API. Pero los equipos de piratas informáticos "a sueldo" tienen robots para hacer esto automáticamente.

En mi libro, esto ni siquiera se convierte en un 'hack', es demasiado fácil y obvio.

Por lo tanto, si hace esto, pronto le explicará a su cliente por qué 1 o 2 empleados están ocupados todo el día sin hacer nada más que retirar las autorizaciones de las tarjetas de crédito de no clientes y devolver los créditos a los que no lo son. y responda a la llamada enojada de los titulares de tarjetas que no son clientes (todo por absolutamente ninguna venta) ya que los malhechores estarán alegremente pagando las transacciones de la tarjeta contra la cuenta A.net de su cliente para ver si las tarjetas de crédito robadas que poseen siguen siendo buenas. Así que este sería un gran movimiento para ti.

Entonces, sus opciones son 2: use Stripe (y pague a través de la nariz) o programe una solución real que sea segura y envíe el formulario a su propio servidor, agregue la clave API y saque el paquete por la puerta trasera de su servidor para A.net, luego analiza la respuesta directa. Sí, esta medida significa que estará bajo el cumplimiento total de PCI.

Confíe en mí, hay muchos equipos de piratas informáticos que tienen robots que rastrean la web en busca de la cadena reveladora string'x_tran_key '(el nombre del elemento de formulario para enviar la clave de transacción de A.net en un formulario a A.net) que es un sorteo muerto para una clave de transacción abierta A.net.

¿Solo vas a dar a esos tipos un buen día de pago?

    
respondido por el Ron Robinson 02.05.2013 - 07:23
fuente

Lea otras preguntas en las etiquetas