web-dev-qa-db-fra.com

Conformité PCI lors de l'utilisation d'un traitement tiers

Mon entreprise sous-traite actuellement le développement de notre nouveau site de commerce électronique à une société de développement Web tierce. Pour configurer les transactions sur notre site, l'utilisateur doit saisir les informations de paiement nécessaires, puis les transmettre à un marchand tiers qui traite le paiement, puis terminer la transaction si tout va bien.

Lorsque la question de la conformité PCI/DSS a été soulevée, ils ont déclaré:

Vous n'aurez pas besoin de certification PCI car le navigateur du client enverra les informations sensibles directement au marchand tiers lors du traitement de la transaction. Cependant, le processus sera transparent pour l'utilisateur car toutes les interfaces et tous les écrans sont contrôlés par nous. Le seul serveur requis pour la conformité est celui du marchand tiers, car aucune donnée de carte sensible ne touche jamais votre serveur ou votre application Web.

Même si je fais tellement confiance et respecte la connaissance de nos développeurs web, ce qu'ils disent lève de sérieux drapeaux rouges pour moi.

À la manière dont le site est décrit, je ne doute pas que nous n'utiliserons pas une page de paiement hébergée telle que les offres Paypal ou Google Checkout (comment pourrions-nous garder le contrôle de l'interface utilisateur si nous le faisions?) Et bien que ma connaissance du commerce électronique soit au mieux risible , il semble que la seule autre option pour nous serait d’utiliser XML direct pour communiquer avec notre marchand tiers pour le traitement.

Mes deux questions sont les suivantes:

  1. Basé sur tout ce que vous avez lu, "XML Direct" est-il la seule option envisageable, ou existe-t-il une autre méthode à mettre en oeuvre que je ne connais pas?
  2. Plus important encore , est-il vrai que notre site n'a pas besoin de certification PCI? Si je comprends bien, utiliser la méthode directe XML signifie que nous faisons devons être certifiés PCI/DSS, et le seul moyen de le faire consiste à utiliser une page hébergée pour le paiement (Paypal, par exemple). ).
securityecommercepci-compliance
3
Moses

Basé sur tout ce que vous avez lu, "XML Direct" est-il la seule option envisageable, ou existe-t-il une autre méthode à mettre en oeuvre que je ne connais pas?

Il existe plus de moyens que XML Direct d’utiliser un tiers pour le paiement. Un exemple de ceci est méthode de publication directe de Authorize.net (DPM). DPM vous permet d'héberger le formulaire de paiement afin de contrôler totalement l'apparence de cette page. Lorsque le formulaire est soumis, il est envoyé directement à Authorize.Net pour traitement. Une fois la transaction terminée, les utilisateurs sont redirigés vers votre site Web. Vous ne touchez jamais aux informations de carte de crédit, mais vous contrôlez totalement l'apparence de l'ensemble du processus.

Plus important encore, est-il vrai que notre site n'a pas besoin de certification PCI? Si je comprends bien, utiliser la méthode directe XML signifie que nous devons être certifiés PCI/DSS, et le seul moyen de le faire consiste à utiliser une page de paiement hébergée (c'est-à-dire Paypal).

Si vous acceptez les paiements via votre site, vous devez vous conformer à la conformité PCI. Cependant, la plupart des problèmes sont transférés au processeur de paiement. Vous vous retrouvez avec moins de problèmes à traiter. Donc, vous n'êtes pas complètement absous de la conformité PCI, comme le dit ce développeur, mais la majeure partie est prise entre vos mains et ce qui reste est plus facile à mettre en œuvre.

2
John Conde

À moins que la page sur laquelle ils saisissent leur information CC se trouve sur un domaine différent (redirection IE Paypal), je m'inquiéterais toujours pour le PCI.

Cela ne signifie pas pour autant que vous deviez satisfaire aux exigences du niveau 1 du PCI (base de données en lecture seule pour chaque type de transaction), mais que vous deviez respecter les exigences du niveau 4. Voir le exigences de Visa comme ils sont les plus stricts je crois.

Ceci FAQ devrait également vous aider afin que vous soyez mieux informé.

Le niveau 4 ne constitue pas un obstacle de coût important, alors je suggérerais toujours de le faire. La plupart des éditeurs de logiciels d'analyse ne font en réalité que votre IP contre un outil tel que Nessus, mais cela aide toujours CYA dans le cas où vous êtes piraté ou compromis.

À votre santé

2
ChrisV