Conformité Magento CE PCI

22

Quelles sont les étapes à suivre pour atteindre la conformité PCI pour Magento CE?

Par exemple, l'utilisation de paiements sur le site Web Paypal pro ou sage pay direct dans un magasin aiderait à atteindre la conformité PCI?

blakcaps
la source
Vous devez crypter toutes les données de manière "PCIish". Vérifier la conformité PCI coûte très cher à afaik. Pourquoi vous voulez ceci? Utilisez l'EE :-)
Fabian Blechschmidt
Si vous souhaitez éviter des difficultés potentielles, utilisez plutôt un mode de paiement hébergé. Comme le serveur SagePay ou la norme PayPal.
Ben Lessani - Sonassi

Réponses:

15

Il n'y a aucune raison pour que CE ne soit pas conforme PCI

Il a toujours été considéré comme conforme à la norme PCI - jusqu'à ce que EE arrive, alors EE avait besoin d'un autre USP. Tant que vous ne stockez pas les détails CC - il n'y a aucune exigence de cryptage des autres données (nom / adresse du client, etc.).

Mais gardez à l'esprit que la conformité PCI est autant une exigence côté application qu'un ensemble de règles et de définitions pour gérer votre entreprise et gérer les informations sensibles.

SAQ

Le niveau de conformité dans lequel vous vous trouvez dictera ce que vous devez faire pour garantir la conformité PCI. Si le SAQ (questionnaire d'auto-évaluation) convient à la taille de votre entreprise, vous pouvez passer sans aide avec CE - lorsque vous utilisez un mode de paiement externe (tel que ceux décrits).

Sinon, au-dessus des niveaux SAQ - vous aurez quand même besoin d'un QSA - et vous parlez gros avec une assistance professionnelle. Le fait que vous demandez ici stipule probablement que vous n'êtes pas dans cette limite.

Vous tomberiez probablement sous SAQ-D

Comment acceptez-vous les cartes de paiement?

A. Commerçants sans carte (e-commerce ou commande par courrier / téléphone), toutes les fonctions de données du titulaire de carte sont externalisées. Cela ne s'appliquerait jamais aux marchands en face à face.

B. Commerçants avec impression uniquement sans stockage électronique des données des titulaires de carte, ou marchands autonomes avec terminaux à accès direct sans stockage électronique des données des titulaires de carte.

C-VT. Commerçants utilisant uniquement des terminaux virtuels basés sur le Web, pas de stockage de données de titulaire de carte électronique.

C. Commerçants disposant de systèmes d'application de paiement connectés à Internet, pas de stockage électronique des données des titulaires de carte.

D. Tous les autres commerçants non inclus dans les descriptions des types de SAQ A à C ci-dessus, et tous les fournisseurs de services définis par une marque de paiement comme étant éligibles pour remplir un SAQ.

Voir https://www.pcisecuritystandards.org/smb/what_to_secure.html

Niveau marchand / transaction

  1. Commerçants traitant plus de 6 millions de transactions Visa par an (tous canaux) ou marchands mondiaux identifiés comme niveau 1 par n'importe quelle région Visa 2
  2. Commerçants traitant 1 à 6 millions de transactions Visa par an (tous canaux)
  3. Commerçants traitant de 20 000 à 1 million de transactions de commerce électronique Visa chaque année
  4. Commerçants traitant moins de 20 000 transactions Visa e-commerce par an et tous les autres commerçants traitant jusqu'à 1 million de transactions Visa par an

Voir http://usa.visa.com/merchants/risk_management/cisp_merchants.html


Ce qui est important, c'est de différencier le niveau marchand et le niveau SAQ. Ils sont séparés. Vous pouvez être SAQ-D en tant que marchand de niveau 2. En fait, dans la plupart des cas, vous pouvez vous auto-évaluer jusqu'au niveau 2 lorsque vous êtes au niveau SAQ-D - car les exigences sont plus détendues car vous ne manipulez pas du tout les données de la carte.


Le simple fait d'utiliser EE ne vous rend pas conforme PCI, de la même manière que l'utilisation d'un hôte conforme PCI ne vous rend pas conforme PCI. Votre entreprise dans son ensemble (application, entreprise / personnel, hébergement) doit être conforme à la norme PCI.

Ben Lessani - Sonassi
la source
2

Le niveau PCI auquel vous devez vous conformer dépend du nombre de transactions que vous allez probablement avoir. Dans un premier temps, vous devez déterminer le niveau qui vous conviendrait:

  1. Tout commerçant - quel que soit le canal d'acceptation - traitant plus de 6 millions de transactions Visa par an. Tout commerçant que Visa, à sa seule discrétion, détermine doit satisfaire aux exigences des commerçants de niveau 1 afin de minimiser les risques pour le système Visa.
  2. Tout commerçant - quel que soit le canal d'acceptation - traitant 1 à 6 millions de transactions Visa par an.
  3. Tout commerçant traitant 20 000 à 1 M de transactions de commerce électronique Visa par an.
  4. Tout commerçant traitant moins de 20 000 transactions de commerce électronique Visa par an, et tous les autres commerçants - quel que soit le canal d'acceptation - traitant jusqu'à 1 million de transactions Visa par an.

http://usa.visa.com/merchants/risk_management/cisp_merchants.html ceci provient de VISA mais s'appliquerait de la même manière au PCI

Avec chaque niveau, vous aurez différentes exigences à remplir. Une fois l'évaluation terminée, je suis sûr que quelqu'un pourra vous donner une réponse plus détaillée sur les étapes à suivre avec CE.

Kristof chez Fooman
la source
1

Enterprise Edition est livré avec une application appelée Payment Bridge qui gère une très bonne quantité de cryptage et peut être exécutée sur un serveur distinct de votre application. Cela peut être excessif pour la plupart des contextes et nécessite la volonté d'isoler et de déboguer le code d'application dans une organisation OO qui n'est pas aussi facile à suivre que le code Magento Core.

La conformité PCI a de nombreuses petites nuances qui ne rendent pas CE complètement conforme à la norme PCI. La manière la plus rapide et souvent la meilleure de se conformer à la norme PCI sur CE consiste à utiliser un système de passerelle de paiement à jeton tiers. Il existe quelques extensions qui ont déjà intégré Authorize.net CIM, ou Cybersource Payment Profiles, et quelques autres. Cela signifie que lorsqu'il est correctement mis en œuvre, vous ne stockez que l'ID de profil du client et les données de la carte de crédit sont stockées sur la passerelle de paiement.

Cela dit, je ne pense pas que votre question indique clairement les informations que vous souhaitez stocker sur la transaction que vous souhaitez améliorer pour respecter la conformité PCI. Sans plus d'informations, il est difficile d'aider à résoudre l'architecture de votre exigence particulière avec une spécificité.

mprototype
la source
Re: sonassi votre réponse est incorrecte CE a été considéré conforme PCI jusqu'à ce que les règles de conformité PCI changent en 2010 et que CE ne réponde plus aux exigences.
mprototype
Le PO était assez clair sur le fait qu'ils ne traitent ni ne stockent aucune information sur le titulaire de la carte, ils s'appuient sur des services externes pour capturer et traiter les paiements. Toute application peut être conforme PCI, CE incluse, sans aucun travail acharné tant que vous ne stockez pas réellement les données du titulaire de la carte. Mais la conformité PCI n'est pas seulement le logiciel que vous utilisez. Son tout sur les pratiques et la mise en œuvre de l'entreprise.
Ben Lessani - Sonassi
Joli vote vers le bas ... J'ai aussi dit que CE peut être conforme ... mais n'est pas sorti de la boîte, et oui le processus biz est important aussi, mais je suppose que vous n'accordez pas de crédit pour une bonne valeur dans une réponse même si mon point de vue entre en conflit avec le vôtre et arrive à discuter des solutions à certains des problèmes si des efforts de conformité PCI étaient faits, ce que votre réponse n'a pas fait. Je n'ai également vu aucune mention de Payment Bridge ni ce que Payment Bridge accomplit vers la conformité PCI dans votre réponse. Et je maintiens ma déclaration ... l'affirmation selon laquelle la conformité PCI de CE était là et n'a jamais changé est une erreur. les exigences ont changé
mprototype
1
Le PO n'a jamais manifesté d'intérêt pour l'EE. Cette question concerne CE. CE n'est pas certifié PA-DSS , mais ce n'est pas la même chose que PCI. En mode natif, vous ne pouvez pas stocker de données CC de manière PCI avec CE - mais l'OP n'a jamais eu l'intention de le faire.
Ben Lessani - Sonassi
0

Je pense qu'il y a normalement deux façons:

  1. Vous ne voulez pas le faire vous-même, car vous êtes un petit magasin, alors vous devriez rester avec le CE et utiliser un fournisseur de paiement pour le faire, pense à votre place

  2. Vous êtes une grande entreprise et attendez beaucoup de transactions et souhaitez le faire vous-même. Ensuite, vous devriez avoir suffisamment d'argent pour utiliser l'EE.

ANCIENNE RÉPONSE:

Vous devez crypter toutes les données de carte de crédit (grâce à @sonassi) de manière "PCIish", et bien plus encore. Vérifier la conformité PCI coûte très cher à afaik. Pourquoi vous voulez ceci? Utilisez l'EE :-)

Toutes les informations dont vous avez besoin se trouvent sur le site Web PCI

Et je ne pense pas qu'il y ait beaucoup de développeurs ici, qui connaissent la norme, moi non plus.

La conformité PCI n'a rien à voir avec. Si vous voulez cela, vous devez dépenser beaucoup d'argent et vous avez besoin d'experts.

Fabian Blechschmidt
la source
Vous n'avez pas besoin de chiffrer autre chose que les détails du titulaire de carte .
Ben Lessani - Sonassi
Je ne pense pas qu'une recommandation EE soit jamais justifiée dans une tentative de conformité PCI - même si l'OP enregistrait les détails CC (ce qu'ils ne sont pas).
Ben Lessani - Sonassi
0

Il existe des plugins (par exemple, la société de sécurité Foregenix en a un qui fait la journalisation, la surveillance des modifications de fichiers et quelques autres choses) qui peuvent aider à mettre en place rapidement et simplement certains des contrôles PCI. Mais si vous cherchez à emprunter le chemin le plus simple du point de vue de la conformité, vous devriez vraiment envisager d'utiliser une page de paiement hébergée à partir de votre passerelle de paiement. Cela vous permettra d'utiliser SAQ A-EP (tant que vous n'essayez pas de faire quelque chose de différent de la page de paiement hébergée ordinaire).

ZWE
la source