Выполнение VPS PCI Compliance

Question

Извиняется заранее, так как этот вопрос задавался много раз. Это мой первый опыт работы с PCI, и я не знаю, с чего начать. Я много читал, но не смог понять этот процесс.

Я также прошел через все из них, и я получаю противоречивый ответ, и я надеюсь, что кто-то сможет вести меня в правильном направлении.

Я работаю над простой страницей выгрузки, которая будет принимать платежи, а затем перенаправлять пользователей обратно туда, откуда они пришли. Страница построена с использованием Zend Framework 1.12, и я использую PayPal Website Payments pro (с REST API) для обработки платежей по карте.

Используя платежный шлюз, пользователи смогут совершать платежи на сайте или переходить на сайт PayPal. Сохраняется только номер карты в формате xxxx-xxxx-xxxx-1111, имя карты и дата истечения срока действия. Уровень коммерсант будет Level 4.

Мои вопросы:

1. Могу ли я сделать VPS PCI совместимый? (Получили противоречивые ответы об этом)
2. Какой сертификат SSL я должен установить (SSL или TLS)?
3. И я подумываю о покупке службы сканирования и устранении уязвимостей, выделенных в отчете. Должен ли я сделать что-нибудь еще? (Большинство других требований, таких как сеть, брандмауэр будет обрабатываться поставщиком VPS)
4. Должен ли я передавать какие-либо документы в PCI или кому-либо еще, информируя их о моем статусе?
5. Если я не использую платежи на месте. Например, перенаправить их на веб-сайт PayPal, не нужно беспокоиться о правах PCI?

Извините, так как это основной вопрос, но я действительно смущен и по достоинству оценят вашу помощь.

Answer 1

Только QSA может дать вам окончательные ответы на ваши вопросы, но я могу сообщить вам свое понимание требований PCI.

Если вы планируете использовать API, то вы откроете область действия как минимум для SAQ A-EP, и если данные CC коснутся вашего сервера, то, скорее всего, вам нужно будет заполнить SAQ D. Вы действительно хотите избегайте этого, если можете. Не можете ли вы использовать iFrame или перенаправить? Если это так, вы можете уйти с SAQ A, который поможет LOT. Я не уверен, что предлагает Paypal, но у Braintree есть сладкое решение iframe, которое может подключиться к Paypal, или вы можете использовать сервис, подобный Spreedly.

1. Да, вы можете использовать VPS, использовать PCI-совместимый провайдер, такой как AWS или Google Cloud. Используйте их соответствие для уменьшения объема вашей PCI.

2. V3.1 требований PCI утверждают, что вы не можете использовать SSL v3 или меньше, поэтому TLS - это способ, но не уверен, почему вы используете старую версию, если это новая сборка. TLS - это в основном новая версия SSL, если это не ясно.

3. Если вы имеете право на SAQ A, вам может не понадобиться сканирование, хотя это все же хорошая идея. Если вы не претендуете на SAQ A, тогда вы отвечаете за брандмауэры и т. Д., Даже используя совместимый с PCI VPS, он становится скользким уклоном и лучше избегать.

4. Кто требует от вас PCI-совместимого?PCI является только контрактным (лучше всего это проверить дважды), как правило, у торгового банка вы подписываете соглашение о том, что вам нужно быть совместимым с PCI, и они могут или не могут проверить это. Если вы делаете SAQ, вам не нужно отправлять его кому бы то ни было, только люди, которые его запрашивают (например, банк), вы захотите сохранить и обновить копию соответствия PCI вашим провайдерам (например, VPS провайдер).

5. Если в любом случае задействованы кредитные карты, вам почти наверняка нужна PCI, ваша лучшая надежда - SAQ A, похоже, что все игнорируют это, но вы рискуете, если все пойдет не так, какие-либо штрафы и т. Д. будет передан вам (это зависит от того, на каких условиях вы согласились).

Проверьте сайт Совета PCI, есть руководства по веб-сайтам электронной коммерции и всем формам SAQ и т. Д. Удачи!