Magento CE PCI-Konformität

22

Welche Schritte müssen unternommen werden, um PCI-Konformität für Magento CE zu erreichen?

Wenn Sie beispielsweise Paypal-Websitezahlungen pro oder Sage Pay direkt in einem Geschäft verwenden, können Sie die PCI-Konformität erreichen.

payment-gateway blakcaps
quelle
Sie müssen alle Daten "PCIish" verschlüsseln. Die Überprüfung auf PCI-Konformität kostet afaik viel Geld. Warum willst du das? Verwenden Sie die EE :-)
Fabian Blechschmidt
Wenn Sie potenzielle Schwierigkeiten vermeiden möchten, verwenden Sie stattdessen eine gehostete Zahlungsmethode. Wie SagePay-Server oder PayPal-Standard.
Ben Lessani - Sonassi

Antworten:

15

Es gibt keinen Grund, warum CE nicht PCI-konform sein kann

Es wurde immer als PCI-konform eingestuft - bis EE hinzukam, brauchte EE einen weiteren USP. Solange Sie keine CC-Daten speichern, ist keine Verschlüsselung anderer Daten (Name / Adresse des Kunden usw.) erforderlich.

Beachten Sie jedoch, dass die PCI-Konformität sowohl eine anwendungsseitige Anforderung als auch eine Reihe von Regeln und Definitionen für die Führung Ihres Unternehmens und den Umgang mit vertraulichen Informationen ist.

SAQ

Welcher Grad an Konformität Sie erreichen, bestimmt, was Sie tun müssen, um die PCI-Konformität sicherzustellen. Wenn SAQ (Self Assessment Questionnaire) für Ihre Unternehmensgröße geeignet ist, können Sie bei Verwendung einer externen Zahlungsmethode (wie der beschriebenen) ohne Unterstützung mit CE bestehen.

Andernfalls, oberhalb des SAQ-Niveaus - Sie benötigen ohnehin einen QSA - und Sie sprechen mit professioneller Unterstützung über viel Geld. Die Tatsache, dass Sie hier nachfragen, legt wahrscheinlich fest, dass Sie sich nicht in dieser Grenze befinden.

Sie würden wahrscheinlich unter SAQ-D fallen

Wie akzeptieren Sie Zahlungskarten?

A. Händler, die keine Karten besitzen (E-Commerce oder Post- / Telefonbestellung), werden alle Karteninhaberdaten ausgelagert. Dies würde niemals für Einzelhändler gelten.

B. Nur-Impressum-Händler ohne elektronische Karteninhaberdatenspeicherung oder Einzelhändler mit Wählterminal ohne elektronische Karteninhaberdatenspeicherung.

C-VT. Händler, die nur webbasierte virtuelle Terminals verwenden, keine elektronische Speicherung von Karteninhaberdaten.

C. Händler mit an das Internet angeschlossenen Zahlungsanwendungssystemen, keine elektronische Speicherung von Karteninhaberdaten.

D. Alle anderen Händler, die nicht in den Beschreibungen für die oben genannten SAQ-Typen A bis C enthalten sind, sowie alle Dienstleister, die von einer Zahlungsmarke als zur Durchführung eines SAQ berechtigt definiert wurden.

Siehe https://www.pcisecuritystandards.org/smb/what_to_secure.html

Händler- / Transaktionsebene

  1. Händler, die jährlich mehr als 6 Millionen Visa-Transaktionen abwickeln (alle Kanäle), oder globale Händler, die von einer Visa-Region als Stufe 1 eingestuft wurden 2
  2. Händler, die jährlich 1 bis 6 Millionen Visa-Transaktionen abwickeln (alle Kanäle)
  3. Händler, die jährlich 20.000 bis 1 Million Visa-E-Commerce-Transaktionen abwickeln
  4. Händler, die jährlich weniger als 20.000 Visa-E-Commerce-Transaktionen abwickeln, und alle anderen Händler, die jährlich bis zu 1 Million Visa-Transaktionen abwickeln

Siehe http://usa.visa.com/merchants/risk_management/cisp_merchants.html

Wichtig ist die Unterscheidung zwischen Händler- und SAQ-Ebene. Sie sind getrennt. Sie können SAQ-D als Level 2-Händler sein. Tatsächlich können Sie sich in den meisten Fällen bis Stufe 2 auf Stufe SAQ-D selbst einschätzen, da die Anforderungen entspannter sind, weil Sie überhaupt nicht mit Kartendaten umgehen.

Wenn Sie nur EE verwenden, werden Sie nicht PCI-konform. Wenn Sie einen PCI-konformen Host verwenden, werden Sie auch nicht PCI-konform. Ihr gesamtes Unternehmen (Anwendung, Unternehmen / Personal, Hosting) muss PCI-konform sein.

Ben Lessani - Sonassi
quelle
2

Die PCI-Stufe, die Sie einhalten müssen, hängt davon ab, wie viele Transaktionen Sie voraussichtlich durchführen werden. Als ersten Schritt sollten Sie herausfinden, welches Level für Sie zutreffen würde:

  1. Jeder Händler - unabhängig vom Akzeptanzkanal - verarbeitet mehr als 6 Millionen Visa-Transaktionen pro Jahr. Jeder Händler, für den Visa nach eigenem Ermessen entscheidet, sollte die Anforderungen für Händler der Stufe 1 erfüllen, um das Risiko für das Visa-System zu minimieren.
  2. Jeder Händler verarbeitet - unabhängig vom Akzeptanzkanal - 1 bis 6 Millionen Visa-Transaktionen pro Jahr.
  3. Jeder Händler, der pro Jahr 20.000 bis 1 Million Visa-E-Commerce-Transaktionen abwickelt.
  4. Jeder Händler, der weniger als 20.000 Visa-E-Commerce-Transaktionen pro Jahr abwickelt, und alle anderen Händler verarbeiten - unabhängig vom Akzeptanzkanal - bis zu 1 Million Visa-Transaktionen pro Jahr.

http://usa.visa.com/merchants/risk_management/cisp_merchants.html Dies stammt von VISA, gilt jedoch auch für PCI

Mit jedem Level müssen Sie unterschiedliche Anforderungen erfüllen. Sobald Sie die Bewertung vorgenommen haben, kann Ihnen bestimmt jemand eine genauere Antwort geben, welche Schritte mit CE unternommen werden müssen.

Kristof bei Fooman
quelle
1

Die Enterprise Edition wird mit einer Anwendung namens Payment Bridge ausgeliefert, die sich mit einer wirklich guten Menge an Verschlüsselung befasst und auf einem anderen Server als Ihrer Anwendung ausgeführt werden kann. Dies kann in den meisten Kontexten zu schnell passieren und erfordert die Bereitschaft, Anwendungscode in einer OO-Organisation zu isolieren und zu debuggen, die nicht so einfach zu befolgen ist wie der Magento Core-Code.

PCI-Konformität weist viele kleine Unterschiede auf, die dazu führen, dass CE nicht vollständig PCI-konform ist. Die schnellste und häufig beste Möglichkeit, PCI-kompatibel zu sein, besteht in der Verwendung eines Tokenization Payment Gateway-Systems eines Drittanbieters. Es gibt einige Erweiterungen, die Authorize.net CIM oder Cybersource Payment Profiles bereits integriert haben, und einige andere. Das bedeutet, dass bei korrekter Implementierung nur die Profil-ID des Kunden gespeichert wird und die Kreditkartendaten auf dem Zahlungs-Gateway gespeichert werden.

Abgesehen davon, glaube ich, enthält Ihre Frage nicht eindeutig die Informationen, die Sie über die Transaktion speichern möchten, die Sie verbessern möchten, um die PCI-Konformität zu erfüllen. Ohne weitere Informationen ist es schwierig, die Architektur Ihrer speziellen Anforderung mit irgendeiner Spezifität zu lösen.

mprototype
quelle
Re: sonassi Ihre Antwort ist falsch CE wurde als PCI-konform eingestuft, bis sich die PCI-Konformitätsregeln im Jahr 2010 änderten und CE nicht mehr den Anforderungen entsprach.
mprototype
Dem OP war ziemlich klar, dass sie keine Karteninhaberdaten verarbeiten oder speichern, sondern sich auf externe Dienste verlassen, um Zahlungen zu erfassen und zu verarbeiten. Jede Anwendung kann PCI-konform sein, einschließlich CE, ohne harte Arbeit, solange Sie keine Karteninhaberdaten speichern. PCI-Konformität ist jedoch nicht nur die Software, die Sie verwenden. Es dreht sich alles um Unternehmenspraktiken und deren Implementierung.
Ben Lessani - Sonassi
Nice vote down ... Ich sagte auch, dass CE konform sein kann ... aber nicht out of the box ist, und ja, der Prozess ist auch wichtig Der Standpunkt widerspricht Ihrem und erörtert zufällig Lösungen für einige der Probleme, falls PCI-Konformitätsbemühungen unternommen werden, die Ihre Antwort nicht ergab. Ich habe auch keine Erwähnung von Payment Bridge gesehen und auch keine Erwähnung dessen, was Payment Bridge im Hinblick auf die PCI-Konformität in Ihrer Antwort leistet. Und ich stehe zu meiner Aussage ... Die Behauptung, dass die PCI-Konformität von CE vorhanden war und sich nie geändert hat, ist ein Irrtum. Die Anforderungen haben sich geändert
mprototype
1
Das OP zeigte nie Interesse an EE. Diese Frage bezieht sich auf CE. CE ist nicht PA-DSS- zertifiziert, entspricht jedoch nicht der PCI-Konformität. Sie können CC-Daten mit CE nativ nicht auf PCI-Weise speichern - das OP hat dies jedoch nie beabsichtigt.
Ben Lessani - Sonassi
0

Ich denke, normalerweise gibt es zwei Möglichkeiten:

  1. Sie wollen es nicht selbst machen, weil Sie ein kleiner Laden sind, dann sollten Sie beim CE bleiben und einen Zahlungsanbieter verwenden, um dies für Sie zu tun

  2. Sie sind ein großes Unternehmen und erwarten eine Menge Transaktionen und möchten diese selbst durchführen. Dann sollten Sie genug Geld haben, um den EE zu nutzen.

ALTE ANTWORT:

Sie müssen alle Kreditkartendaten (dank @sonassi) "PCIish" verschlüsseln und vieles mehr. Die Überprüfung auf PCI-Konformität kostet afaik viel Geld. Warum willst du das? Benutze den EE :-)

Alle Informationen, die Sie benötigen, finden Sie auf der PCI-Website

Und ich glaube nicht, dass es hier viele Entwickler gibt, die den Standard kennen, ich auch nicht.

PCI-Konformität ist kein Problem. Wenn du das willst, musst du viel Geld ausgeben und du brauchst Experten.

Fabian Blechschmidt
quelle
Sie müssen lediglich die Karteninhaberdetails verschlüsseln .
Ben Lessani - Sonassi
Ich glaube nicht, dass eine EE-Empfehlung jemals gerechtfertigt ist, um die PCI-Konformität zu erreichen - selbst wenn das OP CC-Details speichert (was sie nicht sind).
Ben Lessani - Sonassi
0

Es gibt Plugins (z. B. das Sicherheitsunternehmen Foregenix, das Protokollierung, Überwachung von Dateiänderungen und einige andere Aufgaben übernimmt), mit denen einige der PCI-Steuerelemente schnell und einfach eingerichtet werden können. Wenn Sie jedoch aus Compliance-Sicht den einfachsten Weg einschlagen möchten, sollten Sie in Betracht ziehen, eine gehostete Zahlungsseite von Ihrem Zahlungs-Gateway aus zu verwenden. Auf diese Weise können Sie SAQ A-EP verwenden (sofern Sie nicht versuchen, etwas anderes als die gewöhnliche gehostete Zahlungsseite zu tun).

ZWE
quelle