Ich habe einen Einkaufswagen wie folgt:
Seite 4 . Empfangsseite
Wiederholungsabrechnung ist eine Voraussetzung für später, mit variablen Beträgen und Zeitplänen. (Der Benutzer muss zurückkommen und seinen Zeitplan ändern können, ohne die CC-Nummer erneut einzugeben.)
Folgendes möchte ich nicht tun:
Da ich eine Bestätigungsseite benötige, denke ich, dass ich ein Tokenisierungssystem verwenden muss, wie es von braintreepayments
Ich laufe im Kreise herum und versuche herauszufinden, ob das die beste Lösung ist oder nicht:
Der "reinste" sicherste Ansatz scheint darin zu bestehen, nach Braintree (oder jemand anderen, der ein ähnliches Gateway anbietet) umzuleiten.
Bearbeiten (nach der Zuweisung von Kopfgeld):
Ich bin zu dem Schluss gekommen, dass ich unbedingt ein System haben muss, bei dem wir nur die Stufe A für PCI
SAQ A : (wenn CC-Nummern nicht einmal unseren Server berühren). Sie müssen diesen Fragebogen immer noch ausfüllen, wenn Sie online verkaufen, aber es ist ziemlich einfach.
SAQ D : (wo die CC-Nummern unseren Server berühren, SELBST WENN WIR SIE NICHT SPEICHERN)
Sehen Sie sich diese Fragebögen an, die einen großen Unterschied zwischen den Anforderungen erkennen lassen. Die PCI Requirments werden oft fälschlicherweise als eine einfache Liste wie "Aufrechterhaltung einer Firewall", "Sicherheitsrichtlinie", "Beschränken des physischen Zugriffs" dargestellt - aber wenn Sie tatsächlich den Fragebogen D lesen, werden Sie sehen, dass er mehr Fragen und Anforderungen hat . Zum Beispiel müssen Sie beantworten, ob Ihr Server durch eine Videokamera geschützt ist und welche Art der Datenverschlüsselung Sie auf Ihrem Server haben.
Ich würde es wirklich schätzen zu wissen, was tatsächliche Produkte oder Anbieter da draußen, die mir erleichtern, tun, was ich tun möchte. Wenn es wirklich nur 1 oder 2 Firmen gibt, die mich das machen lassen, dann muss ich es wissen.
Ich habe keine Beziehung zu Braintree, außer dass ich es geschafft habe, auf ihre E-Mail-Marketing-Liste zu kommen. Sie sind nur die einzige Firma, die ich gefunden habe, die das tut. Wenn du eine andere Firma betreibst, die das gleiche tut, dann blase auf alle Fälle deine eigene Trompete. Die PCI-Anforderungen werden im Laufe der Zeit immer strenger werden und jeder, der meine Frage bisher gelesen hat, wird dies wahrscheinlich schon erkennen.
Hier ist die allgemeine Faustregel: Wenn Sie das PAN (CC #) und / oder das Exp-Datum nicht lesen, speichern oder verarbeiten, benötigen Sie keine PCI-Compliance. Wenn Sie diese Kartennummer sogar aus der Ferne berühren, müssen Sie sich der PCI-Compliance unterziehen.
Warum machen Sie es nicht einfach und machen Sie PayPal?
Ja, es spielt eine Rolle, ob Sie die CC-Nummer im Speicher ablegen. Sobald die Kartennummer Ihr Netzwerk berührt, können Sie PCI nutzen.
Ich arbeite nicht für Braintree, sondern arbeite für eine Firma, die das tut, was Sie brauchen. Sie benötigen eine Kombination aus Tokenisierung und Datenzugriff auf eine externe Site. Wir haben eine Lösung, die die Umleitung auf eine externe Site umgeht. (Ich bin ziemlich stolz darauf, dass ich das erfunden habe, und die Leute sind verrückt danach.) Es wurde speziell entwickelt, um alles anzugehen, was Sie erwähnt haben. (Ja, du bist nicht allein.)
Ich werde Ihre Suche nicht mit Selbstwerbung beeinflussen, da ich sicher bin, dass es da draußen viele Leute gibt. (Außerdem bin ich nicht in einer offiziellen Marketing-Kapazität und möchte keine Probleme für mich selbst verursachen.)
Viel Glück.
Update: Du kannst ein kleines Unternehmen sein und immer noch Stufe 1 erreichen. Es geht nur um das Volumen, und wenn du es beim ersten Mal richtig machst, gibt es nichts zu ändern, wenn du eine höhere Stufe erreichst. Wenn Sie keine CC-Nummern speichern (entweder durch Tokenisierung oder andere Optionen), schränkt dies die Anwendungen und Server davon ab, was Sie für PCI tun müssen, wenn Sie an den Punkt kommen, an dem ein externer Auditor beteiligt sein muss. Das ist nur ein Problem.
Wenn die Kartennummer Ihren Server überhaupt erreicht, ist alles bis zu dem Punkt des Servers in Reichweite für PCI. Es ist äußerst albern, dass die Auditoren die Tatsache nicht akzeptieren, dass das Speichern der temporär im Speicher befindlichen CC-Nummer den Umfang des Servers begrenzen sollte. Aber du hast recht; Transparente Redirect, Second Site Redirect oder sogar ein einfaches Postback haben keine Möglichkeit zu garantieren, dass Daten nicht gestohlen werden. Bei PCI geht es darum, Hindernisse zu schaffen, die eine Datenverletzung erschweren, und dann zu sagen, dass Sie alles getan haben, um zu verhindern, dass Daten gestohlen werden. (Meine Analogie ist, dass PCI die Schuldigen an allen Punkten in Richtung des Benutzers ausrichtet und nicht an den Leuten, die den ganzen Weg bis zum Prozessor führen.)
Das wirklich große Problem bei PCI ist, dass Sie nicht voraussehen können, wie streng die Regeln durchgesetzt werden, wenn Sie an den Punkt kommen, an dem sich ein Prüfer einbringen muss. Jeder Auditor interpretiert die PCI-DSS-Anforderungen etwas anders, und selbst die Leute, die die ROC-Berichte überprüfen, können plötzlich entscheiden, dass sie nicht mögen, was Sie tun. Es ist nicht wirklich wichtig, worum es dir geht; Was zählt, ist, ob die PCI-Leute Ihre ROC akzeptieren oder eine neue Interpretation der Regeln durchsetzen werden.
Ich habe mit vielen Wirtschaftsprüfern und vielen großen Unternehmen zusammengearbeitet, die PCI durchlaufen. Die Interpretation ist im Moment, dass begrenzter Geltungsbereich bedeutet, dass die Kartennummern Ihr Netzwerk nicht berühren können. Wie sich das auf dich auswirkt, hängt vollständig von deinem aktuellen oder zukünftigen Volumen ab.
Sie müssen Formular D ausfüllen, wenn Sie den Benutzer nicht auf eine andere Site umleiten. Es gilt für alle Systeme mit PANs, auch wenn sie nicht auf die Festplatte geschrieben werden. Wenn Sie gerade erst anfangen, schlage ich vor, die Weiterleitung zu wählen, damit Sie das vermeiden können. Das Kreditkartenangebot von PayPal ist dafür eine vernünftige Wahl. Wenn nichts anderes, sie sind groß und solide und unwahrscheinlich, irgendwo zu gehen.
Die vollständige PCI-Compliance ist zeitaufwändig und teuer. Ich denke, es ist im Allgemeinen am besten, das zu verschieben, bis ein Unternehmen einen Umsatz hat.
Wenn Sie Ihre PCI-Anforderungen minimieren möchten, führen Sie eine Umleitung zu einer gehosteten Zahlungsseite durch oder verwenden Sie eine iFrame-Lösung. Weitere Details finden Sie im Drupal PCI Compliance-Whitepaper , das ich mitentwickelt habe.
Tags und Links credit-card pci-dss