Ich überlege, mit eWay als Zahlungs-Gateway. Sie bieten zwei Möglichkeiten. Eine besteht darin, den Benutzern zu erlauben, Kreditkartendaten auf der von eWay gehosteten Website einzugeben, die andere, mein eigenes Formular zu verwenden und Kreditkartendaten über meinen Server an eWays-Backend zu senden. Die zweite Option (their page with details) scheint für mich passender zu sein, da der Benutzer meine Website niemals verlassen würde und das Branding beibehalten würde. Jetzt sprach ich mit dem Support und sie sagten, dass meine Site PCI-konform sein wird, solange ich SSL verwende. Im Grunde kann ich Benutzern erlauben, CC-Nummern auf meiner Website bereitzustellen und sie über XML an eWays-Backend zu senden. Solange ich keine sensiblen Daten speichere, sondern nur übertrage ist es ok. Bis jetzt dachte ich, solange CC-Daten meinen Server erreichen, muss meine Seite PCI-konform sein, aber jetzt bin ich mir nicht sicher. Wenn mir jemand erklären könnte, wie es wirklich ist, würde das sehr geschätzt werden.mit Zahlung Gateway und PCI-Compliance
Antwort
Wenn Ihr System Kartendaten verarbeitet, muss es in den PCI-Bereich fallen und PCI-konform sein.
Frage: An wen wendet sich PCI an?
A: PCI gilt für alle Organisationen oder Händler, unabhängig von ihrer Größe oder Anzahl der Transaktionen, dass akzeptiert, trägt oder speichert alle Karteninhaber Daten. wenn überhaupt Kunden dieser Organisation, sagte eine andere Art und Weise, je den Händler zahlen direkt eine Kreditkarte oder EC-Karte, dann die PCI DSS-Anforderungen
http://www.pcicomplianceguide.org/pcifaqs.php
bearbeiten gelten; "eWays" als Ihr Gateway-Anbieter sind Stufe 1, und es ist ihnen recht, um sicherzustellen, dass Ihre PCI-konform ist, so dass es ein bisschen zweifelhaft von ihnen ist, Sie mit dem SSL-Spiel zu geben.
Wir haben kürzlich Kreditkartentransaktionen für eine E-Commerce-Website unter Verwendung eines anderen Zahlungsgateway-Anbieters implementiert. Das haben wir über die PCI-DSS-Compliance erfahren.
- Wenn Ihre Geschäftsanforderungen ist die Speicherung von Kundeninformationen mit ihren Kreditkartendaten dann den Server und Netzwerk um sie kompatibel zu PCI
- jedoch, wenn die Speicherung der Kundeninformationen Kreditkartendaten sollten nicht eine kritische Anforderung ist dann Verwenden Sie die ssl-Form des Payment-Gateway-Providers. Sie sollten Mittel zur Verfügung stellen, um das Formular so anzupassen, dass Sie es entsprechend Ihrer Firma brandmarken können.
Detaillierte PCI DSS Anforderungen werden an diesem Link PCI Data Security Standards
gefunden Es scheint, wie Sie viele widersprüchliche Antworten erhalten haben. Ich arbeite in einem Zahlungsunternehmen und habe ein Level 1 Service Provider-Audit absolviert, und ich beschäftige mich täglich mit Händlern und deren PCI-Anforderungen, daher denke ich, dass ich Ihnen helfen kann, dies für Sie zu klären.
Die Realität ist, dass Sie PCI-konform sein müssen, wenn Sie Kreditkarten akzeptieren, auch wenn Sie ALLE Karteninhaber-Datenfunktionen auslagern. Der Trick ist, dass der Standard, den Sie erfüllen müssen, weit weniger restriktiv ist als der Standard, den das Payment-Gateway erfüllen muss - aber das bedeutet nicht, dass "PCI nicht zutrifft".Sie müssen sich nicht mit den wirklich strengen Netzwerksicherheitsanforderungen auseinandersetzen, aber es gibt Aspekte des PCI DSS, die Sie einhalten müssen, und Sie müssen jährlich ein Self-Assessment-Audit durchführen. `
Für Einzelheiten darüber, mit welchem Teil des DSS Sie sich befassen müssen, gehen Sie auf https://www.pcisecuritystandards.org/saq/instructions_dss.shtml und klicken Sie auf den Link für SAQ Validation Type 1 (Fragebogen A). Dadurch erfahren Sie genau, welche Teile des PCI DSS Sie als Händler mit allen ausgelagerten Karteninhaberfunktionen implementieren müssen.
Hoffe, dies hilft, die Dinge für Sie aufzuräumen!
Danke Mike :) Ist das nicht wahr, dass ich nur durch SAQ Validation Type 1 (Qeust. A) bekommen muss, wenn ich Papierberichte oder Quittungen mit Karteninhaberdaten aufbewahre? Wenn ich das nicht habe, oder irgendwelche dieser Daten übertrage/speichere, muss ich mich nicht mit der PCI-Compliance in irgendeiner Form beschäftigen, oder? – spirytus
Sie müssten immer noch eine Selbsteinschätzung mit Fragebogen A machen, aber der erste Teil davon wird meistens als N/A für Sie markiert. Die Teile unter "Information Security Policy" gelten weiterhin. Auch wenn Sie die Selbstbewertung nie jemandem zeigen müssen, würde ich dennoch empfehlen, dies zu tun und sicherzustellen, dass die IS-Sicherheitsrichtlinien eingehalten werden - so müssen Sie sich nie Sorgen machen, wenn Ihr Prozessor eine Sicherheitsverletzung aufweist Ihre PCI-DSS-Anforderungen und können Bußgelder vermeiden, die möglicherweise von Visa beurteilt werden. IMHO, es ist nur ein "besser sicher als Nachsicht" Art der Sache. – MikeH
Kurz gesagt, wenn Sie Zahlungen akzeptieren (auch wenn Sie sie vollständig auslagern), müssen Sie PCI-konform sein. Der größte Faktor bei der Bestimmung, wie viele Sicherheitssteuerelemente Sie erfüllen müssen, ist die Art des Zahlungsgateways, das Sie verwenden.
Ich half ein white paper for the Drupal community Autor, aber die Konzepte gelten auf der ganzen Linie. Ich empfehle es sehr, es zu lesen. Falls Sie Feedback haben, melden Sie bitte ein Problem in der github-Problem-Warteschlange.
- 1. Zahlung Gateway mit Asp.net
- 2. Zahlung Gateway mit socket.io und nodejs
- 3. Java-Zahlung-Gateway-Bibliothek
- 4. woocommerce Zahlung Gateway-Design
- 5. MediaWiki Zahlung Gateway
- 6. Kreditkarte Zahlung Gateway in PHP?
- 7. Zahlung Gateway-Integration in Java
- 8. kann nicht mit Zahlung Gateway kommunizieren
- 9. Zahlung Gateway Integration asp.net C# 2.0
- 10. Payfort Zahlung Gateway Integration in Android
- 11. ccavenue Zahlung Gateway-Fehler wie 10002
- 12. AngularJS http Post und Weiterleitung an Zahlung Gateway
- 13. autorisieren und Capture-Funktionen nicht feuern Magento benutzerdefinierte Zahlung Gateway
- 14. Wie man Zahlung Gateway mit Stripe in Android Pay erstellen?
- 15. Wie Gesamtbetrag mit Auftragsdetails in payeezy Demo-Zahlung Gateway
- 16. Zahlung Gateway für die Unternehmen in Oman registriert
- 17. Integration von ccavenue Zahlung Gateway in ionischen android Mobile App
- 18. Gibt es eine kostenlose Kreditkarte API oder Zahlung Gateway?
- 19. Benötigen Sie Autorisieren Zahlung Gateway in WordPress Woo Commerce hinzuzufügen?
- 20. Wie adaptive Split Paypal Zahlung Gateway in Android zu integrieren?
- 21. Icici und Ebay Zahlung Gateway-Modul in Phonegap für iPhone und Android
- 22. parallele Zahlung oder verkettete Zahlung
- 23. PayPal adaptive Zahlung Erfolg Funktion
- 24. Shopify Custom Payment Gateway Implementierung
- 25. Zahlung über Magento API,
- 26. Ich brauche eine Android Mobile App Zahlung Gateway für Unternehmen in Oman
- 27. Integration mit Payment Gateway
- 28. Api Gateway und Elastische Bohnenstange
- 29. Paypal Zahlung und .NET Bestätigung/Check Seite
- 30. Stripe-Gateway und codeigniter Fehler
Nun das ist, was mich verwirrt .. bis jetzt war ich ziemlich zuversichtlich, dass, selbst wenn ich nicht CC Informationen speichern, aber nur noch müssen meine Website PCI-konform machen. Das ist genau das Gegenteil von dem was du sagst, also was ist die Wahrheit? :) – spirytus
Wenn Kreditkartendaten niemals physisch Ihren Server erreichen (einschließlich RAM aufgrund eines Formulars), dann gilt PCI-DSS nicht. PCI-Datenstandards deckt Ihre Netzwerksicherheit, Betriebssystem-Patches und so weiter. Weil sie sicherstellen wollen, dass sensible Kartendaten vor Missbrauch geschützt sind, während der Netzwerkübertragung (durch SSL abgedeckt) oder durch Speicherung (durch Verschlüsselung geschützt). In Ihrem Fall müssen Sie sicherstellen, dass die Kartendaten nach der Transaktion (SSL) sicher zum Zahlungs-Gateway übertragen werden. Verwenden Sie das Standard-SSL-Formular Ihres Zahlungs-Gateways. – inlokesh
@inlokesh: PCI gilt auf irgendeiner Ebene für alle Verarbeitungskarten des Händlers. Es ist einfach viel einfacher zu passieren, wenn Sie sagen können "keine Karten berühren unser System, es ist durch Zahlung Gateway X getan". –