PCI在使用客户端支付处理器shopify上的遵从性
我正在为Shopify上的客户开发一个电子商务网站,通常Shopify与许多网关集成,但在这个例子中,客户要求我们创建一个自定义结帐,它集成了一个不受shopify支持的支付处理器。
开发已经完成,一切都进行得很好(站点还没有启动),但是我刚刚有了一个天才的想法来检查这个过程是否符合PCI。我希望你能在这方面给我建议:
- 站点是在Shopify上开发的。
- 客户退房并在Shopify网站上输入卡数据。
- 数据通过AJAX请求在数字海洋上传输到我们的服务器(液滴)。
- 服务器的HTTPs证书来自于让我们加密
- 我刚刚在https://www.htbridge.com上进行了一个在线的PCI遵从性测试,除了一个问题(我试图尽快解决这个问题)外,测试结果似乎很好:
- 在服务器上重新计算总价格和运费&并将日期发送到支付网关。
- 只有订单数据被存储,除了卡信息以外的所有东西。
我有几个问题:
- 我是已经走出了森林,还是还有很长的路要走呢?
- 是否有官方的PCI DSS合规证书?这是强制性的吗?
- 谁将检查这一过程的有效性?怎样&什么时候?
回答 2
Security用户
发布于 2017-06-17 11:53:34
恐怕你还有一段路要走。
如果卡数据接触到您的服务器,那么您的服务器就在范围内。
如果您的服务器没有从网络的其余部分分割,那么整个网络就处于范围内。这可能包括实际进入建筑物和公司的每一个桌面。
如果你想超级确定你是符合要求的,你可以得到审计,但这通常只能由销售解决方案的人来完成。
现在有点晚了,但是如果shopify不支持这个网关,那么您可能应该尝试找到一个这样做的第三方。这类提供者的主要卖点是它们为您处理PCI遵从性。如果没有为头痛做准备的话。
Security用户
发布于 2017-06-18 16:57:45
有第三方合格的安全审核员,他们是接受过PCI审计培训的审核员,他们可以发布独立的PCI审计报告。如果你想走这条路,你会想要寻找并联系一个在你的国家服务的审计师。只有当您的业务合作伙伴要求您在与您进行业务之前出示PCI法规的证据时,这通常才是必要的。
在许多情况下,可以对PCI法规进行自我审计。您将需要从自我评估问卷开始。
在大多数法域,PCI是由支付行业自行监管的,因此遵从性是由银行和支付处理机构强制执行的。如果他们发现你的网站与大量欺诈性交易有关,他们可以要求你提供合规证据。如果他们发现你不遵守规定,他们可以处以罚款、限制,或者在最坏的情况下,他们可能拒绝处理你的付款,你可能会遇到这样的情况,即没有支付处理者愿意为你收取信用卡付款。对于许多依赖信用卡交易的在线企业来说,这可能意味着世界末日。此外,在一些法域中,PCI法规也是一项法律要求,这将带来额外的法律惩罚。
https://security.stackexchange.com/questions/162173
复制相似问题
腾讯云开发者
