Magento CE PCIコンプライアンス


22

Magento CEのPCIコンプライアンスを達成するために必要な手順は何ですか?

たとえば、Paypalのウェブサイト決済プロまたは店舗で直接セージペイを使用すると、PCIコンプライアンスの達成に役立ちますか?


すべてのデータを「PCIish」方式で暗号化する必要があります。PCIコンプライアンスをチェックするには、多額の費用がかかります。なぜこれが欲しいのですか?EEを使用します:-)
ファビアンブレシュミット

潜在的な問題を回避する場合は、代わりにホスト型の支払い方法を使用してください。SagePayサーバーまたはPayPal標準と同様。
ベンレサニ-ソナシ

回答:


15

CEがPCIに準拠できない理由はありません

常にPCI準拠と見なされていました。EEが登場するまで、EEは別のUSPを必要としていました。CCの詳細を保存しない限り、他のデータ(顧客名/住所など)を暗号化する必要はありません。

ただし、PCIコンプライアンスは、会社を運営し機密情報を処理するための一連のルールと定義であると同時に、アプリケーション側の要件であることに留意してください。

SAQ

どのレベルのコンプライアンスに該当するかによって、PCIコンプライアンスを確保するために何をする必要があるかが決まります。SAQ(自己評価アンケート)がビジネスの規模に適している場合、外部支払い方法(説明されている方法など)を使用する場合、CEを介さずに渡すことができます。

それ以外の場合、SAQレベルを超える-とにかくQSAが必要になります-そして、専門家の支援を受けて大金を話しています。あなたがここで尋ねているという事実は、おそらくあなたがこの境界にいないことを規定しています。

おそらくSAQ-Dに該当します

支払いカードはどのように受け入れますか?

A.カードを提示しない(eコマースまたはメール/電話注文)加盟店、すべてのカード会員データ機能は外部委託。これは、対面商人には適用されません。

B.電子カード会員データストレージのないインプリントのみの加盟店、または電子カード会員データストレージのないスタンドアロンのダイヤルアウト端末加盟店。

C-VT。Webベースの仮想端末のみを使用し、電子カード会員データストレージを使用しない販売者。

C.インターネットに接続された支払いアプリケーションシステムを持つ販売者。カード会員データの電子ストレージはありません。

D.上記のSAQタイプAからCの説明に含まれていない他のすべてのマーチャント、およびSAQを完了する資格があるとペイメントブランドによって定義されているすべてのサービスプロバイダー。

https://www.pcisecuritystandards.org/smb/what_to_secure.htmlを参照してください

商人/取引レベル

  1. 年間600万件以上のVisaトランザクションを処理する商人(すべてのチャネル)またはVisa地域2によってレベル1として識別されるグローバル商人
  2. 年間100万から600万のVisaトランザクションを処理する販売者(すべてのチャネル)
  3. 年間20,000〜100万のVisa電子商取引を処理する販売者
  4. 毎年20,000未満のVisa eコマーストランザクションを処理している商人、および年間最大100万のVisaトランザクションを処理している他のすべての商人

http://usa.visa.com/merchants/risk_management/cisp_merchants.htmlを参照してください


重要なのは、マーチャントレベルとSAQレベルを区別することです。それらは別々です。レベル2マーチャントとしてSAQ-Dになることができます。実際には、ほとんどの場合、レベルSAQ-Dでレベル2まで自己評価できます。カードデータをまったく処理していないため、要件が緩和されているためです。


EEを使用しただけではPCI準拠になりません。PCI準拠のホストを使用してもPCI準拠にはなりません。ビジネス全体(アプリケーション、ビジネス/スタッフ、ホスティング)はすべてPCI準拠である必要があります。


2

準拠する必要があるPCIレベルは、トランザクションの数によって異なります。最初のステップとして、どのレベルが自分に当てはまるかを判断する必要があります。

  1. 受け入れチャネルに関係なく、すべての加盟店が年間600万件以上のVisaトランザクションを処理しています。Visaが独自の裁量で決定する加盟店は、Visaシステムに対するリスクを最小限に抑えるためにレベル1加盟店の要件を満たす必要があります。
  2. 加盟店は、受け入れチャネルに関係なく、年間1M〜6MのVisaトランザクションを処理します。
  3. 年間20,000〜1MのVisa eコマーストランザクションを処理する販売者。
  4. 年間20,000未満のVisa eコマーストランザクションを処理する加盟店、および他のすべての加盟店は、受け入れチャネルに関係なく、年間最大100万のVisaトランザクションを処理します。

http://usa.visa.com/merchants/risk_management/cisp_merchants.html これはVISAからのものですが、PCIにも同様に適用されます

各レベルでは、異なる要件を満たす必要があります。評価が完了したら、誰かがCEで実行する手順についてより詳細な回答を提供できると確信しています。


1

Enterprise EditionにPayment Bridgeと呼ばれるアプリケーションが付属しており、これは非常に多くの暗号化を処理し、アプリケーションとは別のサーバーで実行できます。これは、ほとんどのコンテキストにとってはやり過ぎになる可能性があり、Magento Coreコードほど簡単ではないOO組織内のアプリケーションコードを分離してデバッグする意欲が必要です。

PCIコンプライアンスには、実際にはCEが完全にPCIに準拠していない小さな違いがたくさんあります。CEでPCIに準拠するための最速かつしばしば最良の方法は、サードパーティのトークン化支払いゲートウェイシステムを使用することです。Authorize.net CIM、またはCyber​​source Payment Profilesなどをすでに統合している拡張機能がいくつかあります。これは、正しく実装された場合、保存するのは顧客のprofileIDだけであり、クレジットカードデータは支払いゲートウェイに保存されることを意味します。

そうは言っても、PCIコンプライアンスを満たすために強化しようとしているトランザクションについて、保存したい情報をあなたの質問が明確に述べているとは思いません。より多くの情報がなければ、特定の要件のアーキテクチャを具体的に解決するのを支援することは困難です。


Re:Sonassiの答えは間違っています2010年にPCIコンプライアンスルールが変更され、CEが要件に適合しなくなるまで、CEはPCIコンプライアンスと見なされていました。
mprototype

OPは、カード所有者の情報を処理または保存しておらず、支払いを取得して処理するために外部サービスに依存していることは明らかでした。実際にカード所有者のデータを保存していない限り、どんなアプリケーションも、ハードワークなしで、PCIに準拠したCEを含むことができます。しかし、PCIコンプライアンスは、使用しているソフトウェアだけではありません。会社の慣行と実装に関するすべて。
ベン・レッサーニ-ソナシ

すてきな投票... CEも準拠できると言いましたが、すぐに使用できます。また、ビジネスプロセスも重要です。ただし、視点があなたと対立し、PCIコンプライアンスへの取り組みが行われたのにあなたの応答がなかった場合、問題のいくつかの解決策を議論することが起こります。また、Payment Bridgeについての言及も、Payment BridgeがPCIコンプライアンスに向けて何を達成したかについても回答していません。そして、私は私の声明を支持します... CEのPCIコンプライアンスがそこにあり、決して変わらなかったという主張は誤りです。要件が変更されました
mprototype

1
OPはEEに関心を示したことはありません。この質問はCEに関するものです。CEはPA-DSS認定ではありませんが、PCI準拠とは異なります。ネイティブでは、CEを使用してCCデータをPCI方式で保存することはできませんが、OPは意図していません。
ベン・レッサーニ-ソナシ

0

私は通常2つの方法だと思う:

  1. あなたは小さなお店ですので、自分でやりたくありません。CEに滞在し、支払いプロバイダーを使ってこれを考えてください

  2. あなたは大企業であり、多くの取引を期待しており、自分でやりたいと思っています。次に、EEを使用するのに十分なお金が必要です。

古い回答:

すべてのクレジットカードデータを暗号化する必要があります(@sonassiに感謝します)。PCIコンプライアンスを確認するには、かなりの費用がかかります。なぜこれが必要ですか?EEを使用します:-)

必要なすべての情報は、PCI Webサイトで見つけることができます。

そして、標準を知っている開発者はここにはあまりいないと思います。

PCIコンプライアンスは、遊ぶことは何もありません。これが必要な場合は、多くのお金を費やさなければならず、専門家が必要です。


Cardholder Details以外を暗号化する必要はありません。
ベン・レッサーニ-ソナシ

OPがCCの詳細を保存していたとしても(PCI準拠ではない)、PCIコンプライアンスを満たすためにEEの推奨事項が保証されることはないと思います。
ベン・レッサーニ-ソナシ

0

PCI制御の一部を迅速かつ簡単に導入するのに役立つプラグイン(たとえば、セキュリティ会社のForegenixには、ログ記録、ファイル変更の監視などを行うプラグインがあります)があります。ただし、コンプライアンスの観点から最も簡単な方法を探している場合は、支払いゲートウェイからホストされた支払いページの使用を検討する必要があります。これにより、SAQ A-EPを使用できます(通常のホストされている支払いページとは異なることをしようとしていない限り)。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.