Комментарии 6
Тем компаниям, которые сталкиваются с необходимостью приведения своих процессов в соответствии с PCI DSS (а это в основном те, кто желает начать принимать платежи на сайте), стоит прочитать относительно небольшой объем документов на сайте www.pcisecuritystandards.org.
Для мерчантов с платежами через интернет, как правило применяется SAQ A-EP (есть перевод). SAQ — это опросник, где вы ставите галочки (под свою собственную ответственность!), что вы выполняете перечисленные там требования. Подписываете у техдира (пусть отвечает), сканируете. После чего, проводится автоматизированное тестирование на проникновение, например в Qualys (дорого), McAfee ($950) или TrustArc (несколько сотен $ за год), после отпиливания phpmyadmin и успешного прохождения во второй раз, вы загружаете подписанный SAQ A-EP и получаете заветный сертификат PCI-DSS. Процедура несложная, доступна для самостоятельного прохождения айтишнику со средним уровнем письменного английского.
Для мерчантов с платежами через интернет, как правило применяется SAQ A-EP (есть перевод). SAQ — это опросник, где вы ставите галочки (под свою собственную ответственность!), что вы выполняете перечисленные там требования. Подписываете у техдира (пусть отвечает), сканируете. После чего, проводится автоматизированное тестирование на проникновение, например в Qualys (дорого), McAfee ($950) или TrustArc (несколько сотен $ за год), после отпиливания phpmyadmin и успешного прохождения во второй раз, вы загружаете подписанный SAQ A-EP и получаете заветный сертификат PCI-DSS. Процедура несложная, доступна для самостоятельного прохождения айтишнику со средним уровнем письменного английского.
Стоит добавить, что большая часть платежных агрегаторов не требует PCI DSS, если форма с вводом платежных данных находится на домене платежного агрегатора (даже в iframe). Внесение информации об успешном платеже на сайт продавца делается через callback от платежной системы. За это, впрочем, агрегатор и забирает свой процент.
Спасибо за комментарий. Сайт www.pcisecuritystandards.org однозначно стоит прочесть как первоисточник, тут очень много полезных материалов. В статье есть ссылка на данный ресурс.
Что касается сканирований, то есть даже более дешевые аналоги, например
www.comodo.com/e-commerce/compliance/pci-compliance.php. Но не для всех подойдет описанное вами решение — это зависит от количества транзакций и объема хранимых карточных данных. В случае значительных объемов (посмотреть требования к уровням можно, например тут ru.wikipedia.org/wiki/PCI_DSS) может потребоваться несколько более сложная процедура подготовки и прохождения сертификации.
Что касается сканирований, то есть даже более дешевые аналоги, например
www.comodo.com/e-commerce/compliance/pci-compliance.php. Но не для всех подойдет описанное вами решение — это зависит от количества транзакций и объема хранимых карточных данных. В случае значительных объемов (посмотреть требования к уровням можно, например тут ru.wikipedia.org/wiki/PCI_DSS) может потребоваться несколько более сложная процедура подготовки и прохождения сертификации.
Да, для мерчантов с >6млн транзакций в год, требуется проведения внешнего аудита у сертифицированного QSA. Особой разницы нет, просто SAQ будет подписан QSA, а не сотрудником. Впрочем, проведение аудита может быть столь же формальным, как и заполнение SAQ, в зависимости от выбранного QSA. Пускать аудиторов внутрь периметра не все жаждут, несмотря на NDA.
Позволю не согласиться касательно формального принятия требований аудитором, вероятно такие случаи есть, хоть я с таким и не сталкивался за много лет. Но аудитор обязан подать в отчете достаточно много подтверждений касательно выполнения процессов, а у нормальной аудиторской компании есть внутренний qa который не пропустит «липу», это помимо не готовности большинства аудиторов рисковать статусом qsa в случае расследования по факту инцидента или внутренней проверки платежных систем.
при оплате в крипте все это не нужно выходит, продавец — покупатель p2p и ничего лишнего, так и Кармак думает
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Особенности подготовки и прохождения международных аудитов безопасности