Quelles sont les étapes à suivre pour atteindre la conformité PCI pour Magento CE?
Par exemple, l'utilisation de paiements sur le site Web Paypal pro ou sage pay direct dans un magasin aiderait à atteindre la conformité PCI?
payment-gateway
blakcaps
la source
la source
Réponses:
Il n'y a aucune raison pour que CE ne soit pas conforme PCI
Il a toujours été considéré comme conforme à la norme PCI - jusqu'à ce que EE arrive, alors EE avait besoin d'un autre USP. Tant que vous ne stockez pas les détails CC - il n'y a aucune exigence de cryptage des autres données (nom / adresse du client, etc.).
Mais gardez à l'esprit que la conformité PCI est autant une exigence côté application qu'un ensemble de règles et de définitions pour gérer votre entreprise et gérer les informations sensibles.
SAQ
Le niveau de conformité dans lequel vous vous trouvez dictera ce que vous devez faire pour garantir la conformité PCI. Si le SAQ (questionnaire d'auto-évaluation) convient à la taille de votre entreprise, vous pouvez passer sans aide avec CE - lorsque vous utilisez un mode de paiement externe (tel que ceux décrits).
Sinon, au-dessus des niveaux SAQ - vous aurez quand même besoin d'un QSA - et vous parlez gros avec une assistance professionnelle. Le fait que vous demandez ici stipule probablement que vous n'êtes pas dans cette limite.
Vous tomberiez probablement sous SAQ-D
Voir https://www.pcisecuritystandards.org/smb/what_to_secure.html
Niveau marchand / transaction
Voir http://usa.visa.com/merchants/risk_management/cisp_merchants.html
Ce qui est important, c'est de différencier le niveau marchand et le niveau SAQ. Ils sont séparés. Vous pouvez être SAQ-D en tant que marchand de niveau 2. En fait, dans la plupart des cas, vous pouvez vous auto-évaluer jusqu'au niveau 2 lorsque vous êtes au niveau SAQ-D - car les exigences sont plus détendues car vous ne manipulez pas du tout les données de la carte.
Le simple fait d'utiliser EE ne vous rend pas conforme PCI, de la même manière que l'utilisation d'un hôte conforme PCI ne vous rend pas conforme PCI. Votre entreprise dans son ensemble (application, entreprise / personnel, hébergement) doit être conforme à la norme PCI.
la source
Le niveau PCI auquel vous devez vous conformer dépend du nombre de transactions que vous allez probablement avoir. Dans un premier temps, vous devez déterminer le niveau qui vous conviendrait:
http://usa.visa.com/merchants/risk_management/cisp_merchants.html ceci provient de VISA mais s'appliquerait de la même manière au PCI
Avec chaque niveau, vous aurez différentes exigences à remplir. Une fois l'évaluation terminée, je suis sûr que quelqu'un pourra vous donner une réponse plus détaillée sur les étapes à suivre avec CE.
la source
Enterprise Edition est livré avec une application appelée Payment Bridge qui gère une très bonne quantité de cryptage et peut être exécutée sur un serveur distinct de votre application. Cela peut être excessif pour la plupart des contextes et nécessite la volonté d'isoler et de déboguer le code d'application dans une organisation OO qui n'est pas aussi facile à suivre que le code Magento Core.
La conformité PCI a de nombreuses petites nuances qui ne rendent pas CE complètement conforme à la norme PCI. La manière la plus rapide et souvent la meilleure de se conformer à la norme PCI sur CE consiste à utiliser un système de passerelle de paiement à jeton tiers. Il existe quelques extensions qui ont déjà intégré Authorize.net CIM, ou Cybersource Payment Profiles, et quelques autres. Cela signifie que lorsqu'il est correctement mis en œuvre, vous ne stockez que l'ID de profil du client et les données de la carte de crédit sont stockées sur la passerelle de paiement.
Cela dit, je ne pense pas que votre question indique clairement les informations que vous souhaitez stocker sur la transaction que vous souhaitez améliorer pour respecter la conformité PCI. Sans plus d'informations, il est difficile d'aider à résoudre l'architecture de votre exigence particulière avec une spécificité.
la source
Je pense qu'il y a normalement deux façons:
Vous ne voulez pas le faire vous-même, car vous êtes un petit magasin, alors vous devriez rester avec le CE et utiliser un fournisseur de paiement pour le faire, pense à votre place
Vous êtes une grande entreprise et attendez beaucoup de transactions et souhaitez le faire vous-même. Ensuite, vous devriez avoir suffisamment d'argent pour utiliser l'EE.
ANCIENNE RÉPONSE:
Vous devez crypter toutes les données de carte de crédit (grâce à @sonassi) de manière "PCIish", et bien plus encore. Vérifier la conformité PCI coûte très cher à afaik. Pourquoi vous voulez ceci? Utilisez l'EE :-)
Toutes les informations dont vous avez besoin se trouvent sur le site Web PCI
Et je ne pense pas qu'il y ait beaucoup de développeurs ici, qui connaissent la norme, moi non plus.
La conformité PCI n'a rien à voir avec. Si vous voulez cela, vous devez dépenser beaucoup d'argent et vous avez besoin d'experts.
la source
Il existe des plugins (par exemple, la société de sécurité Foregenix en a un qui fait la journalisation, la surveillance des modifications de fichiers et quelques autres choses) qui peuvent aider à mettre en place rapidement et simplement certains des contrôles PCI. Mais si vous cherchez à emprunter le chemin le plus simple du point de vue de la conformité, vous devriez vraiment envisager d'utiliser une page de paiement hébergée à partir de votre passerelle de paiement. Cela vous permettra d'utiliser SAQ A-EP (tant que vous n'essayez pas de faire quelque chose de différent de la page de paiement hébergée ordinaire).
la source