Платежи PayPal pro и соответствие PCI DSS

Question

Аналогичный вопрос, о котором я прошу, уже был указан по ссылке ниже.

Paypal payments pro and pci compliance

Но этот вопрос три года. Поэтому я был бы признателен, если кто-то может дать мне последний ответ.

На веб-сайте PayPal указано, что для использования PayPal Pro вам потребуется получить сертификат PCI/DSS, и я пытаюсь внедрить PayPal Pro на одном из моих сайтов электронной коммерции. Я не собираюсь хранить какие-либо данные о карте и будет использовать SSL-сертификат для надежной передачи данных.

Нужно ли мне что-либо делать, чтобы соответствовать требованиям PCI/DSS и поддерживать активную учетную запись PayPal Pro?

И есть ли легкая работа над выполнением этой работы? Например, RackSpace предлагает серверы, совместимые с PCI/DSS. Переход на них поможет мне реализовать большинство сетевых требований.

Answer 1

Пока вы используете надежный SSL и не сохраняете конфиденциальные данные на своих серверах, как вы упомянули, тогда вы будете в порядке.

Все, что вам нужно, намного сложнее при сохранении данных кредитной карты на вашем собственном сервере.

Answer 2

PCI DSS Compliance охватывает многие аспекты физической безопасности, сетевой безопасности, операционной безопасности.

Если вы используете Rackspace, то ваша физическая безопасность может оказаться вне сферы действия, но все же сетевые блоки безопасности, такие как брандмауэры, IDS, HIDS, система централизованного мониторинга журналов, а затем система безопасности операционной системы (Linux/Windows) по-прежнему будут картина.

Наличие инфраструктуры, совместимой с PCI, помогает много, но хостинг-сайт в один не приводит к соблюдению PCI.

PS:. PCI DSS 3 мандата использование TLS 1.2 вместо SSL :)

Answer 3

Там распространенное заблуждение, что PCI DSS распространяется только на юридических лиц, которые «хранения, обработки или передачи данных о держателях карт Вы должны понимать:

1. Даже если он зашифрован, он по-прежнему данные держателя карты и до сих пор при условии PCI DSS (см. PCI DSS FAQ 1086)
2. Любое лицо, которое может повлиять на поток указанных данных держателя карты в области для PCI DSS, что означает. (см. тот же FAQ)

Есть некоторые исключения для каждого из них, если вы читаете параграфы последних параграфов FAQ.

Тем не менее, первый вопрос, на который вам нужно ответить, который сильно влияет на уровень требуемого соответствия, а также кто вам должен сообщить об этом, является кто является продавцом записей о транзакциях? Будет ли PayPal собирать платежи и давать вам ежедневные/еженедельные/ежемесячные расчетные депозиты за вычетом сборов или каждый платеж поступает непосредственно на ваш торговый счет, и вы платите свои платежи PayPal отдельно.

Если вы являетесь продавцом записей, вы будете подчиняться требованиям продавца, если PayPal является продавцом записей, вы фактически стали их поставщиком услуг.

Когда вы являетесь продавцом, ваш банк будет определять, какое доказательство соответствия вы предоставляете им в зависимости от того, на каком уровне вы находитесь (http://pcipolicyportal.com/what-is-pci/merchants/). Скорее всего, вы сможете самооценить. Если вы используете встроенную форму оплаты PayPal, скорее всего, вы получите право на SAQ A, возможно, SAQ A-EP. Если вы используете API, вам, скорее всего, потребуется заполнить SAQ D. Все можно загрузить с PCI SCC website.

Когда вы являетесь поставщиком услуг, вы находитесь во власти продавца, в данном случае PayPal. Они могут диктовать любые соответствия, которые они считают подходящими, поскольку они несут ответственность за безопасность каждой транзакции. С точки зрения PCI вы либо завершите предоставление поставщика услуг SAQ D, либо отчет о соответствии (ROC), и аттестацию соответствия (AOC), каждый из которых загружается с PCI SCC website.

TLDR: просто используйте встроенные формы PayPal Pro, заполните SAQ A и сделайте с ним. Если PayPal является продавцом записей для транзакций, им нужно рассказать вам, какие шаги по соблюдению необходимо выполнить. Если вы используете API, получайте удовольствие от завершения SAQ D.