Обеспечение соответствия PCI VPS
Заранее извиняюсь, так как этот вопрос задавался много раз. Я впервые работаю с PCI, и я не знаю, с чего начать. Я много читал, но не смог понять процесс.
Я также прошел через все из них, и я получил противоречивый ответ, и я надеюсь, что кто-то сможет направить меня в правильном направлении.
Я работаю над простой страницей оплаты извне, которая будет принимать платежи, а затем перенаправлять пользователей туда, откуда они пришли. Страница построена с использованием Zend Framework 1.12, и я использую PayPal Website Payments pro (с REST API) для обработки карточных платежей.
Используя платежный шлюз, пользователи смогут совершать платежи на сайте или переходя на сайт PayPal. Сохраняется только номер карты в формате xxxx-xxxx-xxxx-1111, имя карты и срок действия. Уровень торговца будет 4-го уровня.
Мои вопросы:
- Могу ли я сделать VPS PCI-совместимым? (Получил противоречивые ответы по этому поводу)
- Какой сертификат SSL я должен установить (SSL или TLS)?
- И я думаю о покупке службы сканирования и исправлении уязвимостей, отмеченных в отчете. Я должен буду сделать что-нибудь еще? (Большинство других требований, таких как сеть, брандмауэр будет обрабатываться поставщиком VPS)
- Должен ли я подавать какие-либо документы в PCI или кому-либо еще, информируя их о моем статусе?
- Если я не использую платежи на месте. Например, перенаправить их на сайт PayPal не нужно беспокоиться о PCI, не так ли?
Снова прошу прощения, так как это основной вопрос, но я очень смущен и буду признателен за вашу помощь.
Решение
Только QSA может дать вам исчерпывающие ответы на ваши вопросы, но я могу сообщить вам мое понимание требований PCI.
Если вы планируете использовать API, то вы бы открыли для своей области минимум SAQ A-EP, а если данные CC коснутся вашего сервера, то, скорее всего, вам потребуется выполнить SAQ D. Вы действительно хотите этого избежать, если вы Можно. Вы не можете использовать iFrame или перенаправить? Если это так, вы можете сойти с рук с SAQ A, который поможет много. Я не уверен, что предлагает Paypal, но у Braintree есть замечательное решение iframe, которое может подключаться к Paypal, или вы можете использовать такую услугу, как Spreedly.
-
Да, вы можете использовать VPS, использовать PCI-совместимого поставщика, такого как AWS или Google Cloud. Используйте их соответствие, чтобы уменьшить объем PCI.
-
V3.1 требований PCI гласит, что вы не можете использовать SSL v3 или менее, поэтому TLS — это то, что вам нужно, не зная, зачем вам использовать старую версию, если это новая сборка. TLS — это в основном новая версия SSL, если это не ясно.
-
Если вы подходите для SAQ A, тогда вам, возможно, не понадобятся сканы, хотя все же это хорошая идея. Если вы не имеете права на SAQ A, то вы несете ответственность за брандмауэры и т. Д. Даже при использовании VPS, совместимого с PCI, это становится скользким уклоном и его лучше избегать.
-
Кто требует от вас PCI-совместимости? PCI является только договорным (хотя лучше проверить это дважды), как правило, торговый банк попросит вас подписать соглашение о том, что вы должны соответствовать PCI, и они могут или не могут проверить это. Если вы делаете SAQ, вам не нужно отправлять его кому-либо, только людям, которые просят об этом (например, в банке), вы также захотите сохранить и обновить копию соответствия PCI ваших провайдеров (например, VPS). провайдер).
-
Если в любом случае участвуют кредитные карты, то вам почти наверняка нужен PCI, ваша лучшая надежда — SAQ A, кажется, что все игнорируют это, но вы тот, кто рискует, если что-то пойдет не так, любые штрафы и т. Д. Будут переданы вы (опять же, это зависит от того, на каких условиях вы согласились).
Посетите веб-сайт совета PCI, есть руководства для веб-сайтов электронной коммерции, все формы SAQ и т. Д. Удачи!
Другие решения
Других решений пока нет …