Requisitos de la pasarela de pago en línea

Si sus servidores no almacenan, procesan ni transmiten datos de titulares de tarjetas en ningún momento, sus sistemas no están dentro del alcance del cumplimiento de PCI y efectivamente ha subcontratado el manejo de dichos datos a authorize.net. significa que el PCI se simplifica porque tiene un alcance reducido y completaría un cuestionario de autoevaluación (SAQ) menos oneroso. Como comerciante, debe ser compatible en lugar de que su sitio deba ser compatible. La forma en que maneja los datos del titular de la tarjeta determina qué SAQ debe completar: si ha subcontratado el manejo de los datos del titular de la tarjeta, completará el SAQ A, que es bastante simple.

Visa y MasterCard tienen pautas sobre cómo deben protegerse las aplicaciones web cuando el manejo de transacciones se ha subcontratado, como el uso de páginas de pago alojadas. La preocupación es que la aplicación podría ser manipulada y la transmisión de datos del titular de la tarjeta redirigida (o copiada) a un tercero.

Los requisitos incluyen un ciclo de vida de desarrollo seguro, exploración de vulnerabilidades, registro y monitoreo de integridad de archivos.

Debería considerar el almacenamiento de la clave de transacción por separado de la aplicación, como el cifrado dentro de la base de datos o en un almacén de archivos separado con controles de acceso sólidos.

Primero, no soy abogado, debe hablar con un abogado o un especialista de PCI en lugar de con una persona aleatoria en Internet. Dicho esto, mi entendimiento de Direct Post es que el cliente envía el PCI al servidor de Authorize.Net. Su servidor nunca lo toca, por lo que no debe requerir el cumplimiento de PCI. PCI-DSS solo requiere que los sistemas que tocan PCI sean compatibles y, estrictamente hablando, el único intercambio de PCI es entre el navegador del cliente y el servidor de Authorize.Net.

Dicho esto, aún sería prudente tratar de seguir muchas de las pautas, ya que un compromiso de su servidor podría comprometer fácilmente el lugar donde se envía el PCI (como JavaScript malicioso que altera la dirección POST del formulario). El argumento en el sitio de Authorize.Net probablemente se relacione con el hecho de que un compromiso de su servidor todavía puede comprometer la integridad de la transacción, pero PCI-DSS aún no ha alcanzado este riesgo y aún es técnicamente algo que un consumidor inteligente podría Detectar y prevenir, ya que su sistema es el que está siendo engañado para hacer lo malo.

Su 'solución' tiene un gran problema: debe ingresar su ID de Authorise.net y su clave de API para que A.net pueda procesar la transacción y enviar el dinero al lugar correcto.

Todo lo que un pirata informático tendría que hacer para obtener la clave API y la ID A.net es hacer clic derecho y seleccionar 'Ver código fuente' para obtener la clave API y la ID A.net del comerciante. Si intentas bloquearlo con un poco de Javascript cojo, el pirata informático simplemente guardará la página en su disco duro y luego la mirará y obtendrá la clave de ID / API. Pero los equipos de piratas informáticos "a sueldo" tienen robots para hacer esto automáticamente.

En mi libro, esto ni siquiera se convierte en un 'hack', es demasiado fácil y obvio.

Por lo tanto, si hace esto, pronto le explicará a su cliente por qué 1 o 2 empleados están ocupados todo el día sin hacer nada más que retirar las autorizaciones de las tarjetas de crédito de no clientes y devolver los créditos a los que no lo son. y responda a la llamada enojada de los titulares de tarjetas que no son clientes (todo por absolutamente ninguna venta) ya que los malhechores estarán alegremente pagando las transacciones de la tarjeta contra la cuenta A.net de su cliente para ver si las tarjetas de crédito robadas que poseen siguen siendo buenas. Así que este sería un gran movimiento para ti.

Entonces, sus opciones son 2: use Stripe (y pague a través de la nariz) o programe una solución real que sea segura y envíe el formulario a su propio servidor, agregue la clave API y saque el paquete por la puerta trasera de su servidor para A.net, luego analiza la respuesta directa. Sí, esta medida significa que estará bajo el cumplimiento total de PCI.

Confíe en mí, hay muchos equipos de piratas informáticos que tienen robots que rastrean la web en busca de la cadena reveladora string'x_tran_key '(el nombre del elemento de formulario para enviar la clave de transacción de A.net en un formulario a A.net) que es un sorteo muerto para una clave de transacción abierta A.net.

¿Solo vas a dar a esos tipos un buen día de pago?