Как стать автором
Обновить

Комментарии 9

Вопрос по необходимости сертификации.
дано:
интернет-магазин при оплате переадресует клиента на сайт банка, оплата производится там.
платежные данные магазином не хранятся и не обрабатываются.
но:
нельзя исключать вероятность компрометации сайта интернет-магазина и подмены страницы оплаты.
т.е. раньше клиент вводил данные на сайте банка, сейчас на сайте магазина (они пересылаются в банк, операция успешна, платежные данные скомпрометированы).
необходима ли сертификация при таких исходных данных?
Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, e-commerce и т.п.). Причем требования относятся только к тем информационным системам компании, в которых обрабатывается или хранится информация о платежных картах, а также к системам, которые с ними взаимосвязаны.

Данные же передаются, значит, вполне есть смысл в сертификации
Данные же передаются, значит, вполне есть смысл в сертификации

Нет, не передаются — я указал, что платежные данные магазином не хранятся и не обрабатываются.
В исходных данных магазин только переадресует клиента для оплаты на сайт банка (платёжной системы).

Сертификация не требуется.
Сертификация требуется. Вы правильно написали про компрометацию сайта интернет-магазина и подмену страницы оплаты.
Если не ошибаюсь, в вашем случае потребуется SAQ A (Self-Assessment Questionnaire). Не применимы все пункты кроме 12.8. Скачать можно с сайта PCI Security Standards Council.
Вам также нужно будет заключить доп. соглашение с вашим банком и включить формулировку, наподобие "контрагент обязуется обеспечивать безопасность данных платежных карт". Помимо доп. соглашения необходимо собирать с контрагентов Attestation of Compliance. Это документ (как и SAQ), который необходимо обновлять каждый год — проходить аудит, либо заполнять SAQ.
Мы хотели её проходить, но оказалось что с технической стороны всё достаточно просто, но бумажная волокита может затянуться на пол года.
Может вам не повезло с аудитором? Потому что полгода — это черезчур… Если предположить, что всё готово к сертификации (без подготовительного этапа), то её можно закончить за 3-5 рабочих дней на территории компании и ещё 4-6 рабочих дней в офисе аудитора на заполнение документации.
При полном сотрудничестве, разумеется.
Сбербанк начал своё обновление порядка 3 месяцев назад и до сих пор продолжает
Требуется ли сертификация:
У нас связка ЛК+Мобильное приложение, пополнение через ЛК работает по схеме: введите сумму и по кнопке далее перекидываем на paypal или Яндекс.Кассу(далее ЯК), где происходит оплата и платежная система нас только уведомляет о факте оплаты. В мобильном приложении мы используем официальные sdk от paypal и як. Если с лк более или менее все понятно, мы ничего не обрабатываем и не храним, только сумму передаем третьей стороне и весь процесс оплаты происходит на стороне платежной системы. Но в случаи с мобильным приложением не понятный вопрос, мы встраиваем sdk платежной системы и теоретически мы можем повлиять на данные или нет? Нужно ли нам проходить сертификацию?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.