Комментарии 9
Вопрос по необходимости сертификации.
дано:
интернет-магазин при оплате переадресует клиента на сайт банка, оплата производится там.
платежные данные магазином не хранятся и не обрабатываются.
но:
нельзя исключать вероятность компрометации сайта интернет-магазина и подмены страницы оплаты.
т.е. раньше клиент вводил данные на сайте банка, сейчас на сайте магазина (они пересылаются в банк, операция успешна, платежные данные скомпрометированы).
необходима ли сертификация при таких исходных данных?
дано:
интернет-магазин при оплате переадресует клиента на сайт банка, оплата производится там.
платежные данные магазином не хранятся и не обрабатываются.
но:
нельзя исключать вероятность компрометации сайта интернет-магазина и подмены страницы оплаты.
т.е. раньше клиент вводил данные на сайте банка, сейчас на сайте магазина (они пересылаются в банк, операция успешна, платежные данные скомпрометированы).
необходима ли сертификация при таких исходных данных?
Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, e-commerce и т.п.). Причем требования относятся только к тем информационным системам компании, в которых обрабатывается или хранится информация о платежных картах, а также к системам, которые с ними взаимосвязаны.
Данные же передаются, значит, вполне есть смысл в сертификации
Сертификация требуется. Вы правильно написали про компрометацию сайта интернет-магазина и подмену страницы оплаты.
Если не ошибаюсь, в вашем случае потребуется SAQ A (Self-Assessment Questionnaire). Не применимы все пункты кроме 12.8. Скачать можно с сайта PCI Security Standards Council.
Вам также нужно будет заключить доп. соглашение с вашим банком и включить формулировку, наподобие "контрагент обязуется обеспечивать безопасность данных платежных карт". Помимо доп. соглашения необходимо собирать с контрагентов Attestation of Compliance. Это документ (как и SAQ), который необходимо обновлять каждый год — проходить аудит, либо заполнять SAQ.
Если не ошибаюсь, в вашем случае потребуется SAQ A (Self-Assessment Questionnaire). Не применимы все пункты кроме 12.8. Скачать можно с сайта PCI Security Standards Council.
Вам также нужно будет заключить доп. соглашение с вашим банком и включить формулировку, наподобие "контрагент обязуется обеспечивать безопасность данных платежных карт". Помимо доп. соглашения необходимо собирать с контрагентов Attestation of Compliance. Это документ (как и SAQ), который необходимо обновлять каждый год — проходить аудит, либо заполнять SAQ.
Мы хотели её проходить, но оказалось что с технической стороны всё достаточно просто, но бумажная волокита может затянуться на пол года.
Может вам не повезло с аудитором? Потому что полгода — это черезчур… Если предположить, что всё готово к сертификации (без подготовительного этапа), то её можно закончить за 3-5 рабочих дней на территории компании и ещё 4-6 рабочих дней в офисе аудитора на заполнение документации.
При полном сотрудничестве, разумеется.
При полном сотрудничестве, разумеется.
Сбербанк начал своё обновление порядка 3 месяцев назад и до сих пор продолжает
Требуется ли сертификация:
У нас связка ЛК+Мобильное приложение, пополнение через ЛК работает по схеме: введите сумму и по кнопке далее перекидываем на paypal или Яндекс.Кассу(далее ЯК), где происходит оплата и платежная система нас только уведомляет о факте оплаты. В мобильном приложении мы используем официальные sdk от paypal и як. Если с лк более или менее все понятно, мы ничего не обрабатываем и не храним, только сумму передаем третьей стороне и весь процесс оплаты происходит на стороне платежной системы. Но в случаи с мобильным приложением не понятный вопрос, мы встраиваем sdk платежной системы и теоретически мы можем повлиять на данные или нет? Нужно ли нам проходить сертификацию?
У нас связка ЛК+Мобильное приложение, пополнение через ЛК работает по схеме: введите сумму и по кнопке далее перекидываем на paypal или Яндекс.Кассу(далее ЯК), где происходит оплата и платежная система нас только уведомляет о факте оплаты. В мобильном приложении мы используем официальные sdk от paypal и як. Если с лк более или менее все понятно, мы ничего не обрабатываем и не храним, только сумму передаем третьей стороне и весь процесс оплаты происходит на стороне платежной системы. Но в случаи с мобильным приложением не понятный вопрос, мы встраиваем sdk платежной системы и теоретически мы можем повлиять на данные или нет? Нужно ли нам проходить сертификацию?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Сертификация PCI DSS: Что это и с чем её едят