Создание VPS PCI-совместимости

Question

Создание VPS PCI-совместимости

1

Извиняюсь заранее, поскольку этот вопрос задавался много раз. Это мой первый опыт работы с PCI, и я не знаю, с чего начать. Я много читал, но не смог понять этот процесс.

Я тоже прошел через все, и я получаю противоречивый ответ, и я надеюсь, что кто-то сможет вести меня в правильном направлении.

Я работаю над простой страницей выездной проверки, которая будет принимать платежи, а затем перенаправлять пользователей обратно туда, откуда они пришли. Страница построена с использованием Zend Framework 1.12, и я использую PayPal Website Payments pro (с REST API) для обработки платежей по карте.

Используя платежный шлюз, пользователи смогут совершать платежи на сайте или переходить на веб-сайт PayPal. Сохраняется только номер карты в формате xxxx-xxxx-xxxx-1111, имя карты и дата истечения срока действия. Торговый уровень будет Уровень 4.

Мои вопросы:

Могу ли я сделать VPS PCI совместимым? (Получил противоречивые ответы об этом)
Какой сертификат SSL следует установить (SSL или TLS)?
И я думаю о покупке службы сканирования и устранении уязвимостей, выделенных в отчете. Должен ли я сделать что-нибудь еще? (Большинство других требований, таких как сеть, брандмауэр, будет обрабатываться поставщиком VPS)
Должен ли я передавать какие-либо документы в ЧКВ или кому-либо еще, информируя их о моем статусе?
Если я не использую платежи на месте. Например, перенаправить их на веб-сайт PayPal, не нужно беспокоиться о правах PCI?

Извиняюсь снова, поскольку это основной вопрос, но я действительно смущен и буду благодарен за вашу помощь.

Jay Bhatt 11 нояб. 2015, в 03:28

Источник

0

5. Насколько я знаю, если вы храните детали, соответствие PCI необходимо.
Darren 11 нояб. 2015, в 02:31
0

@Darren Спасибо за ответ. Из других вопросов я узнал, что это также необходимо, если вы не храните какие-либо данные, а просто передаете данные.
Jay Bhatt 11 нояб. 2015, в 09:17
0

Я голосую, чтобы закрыть этот вопрос как не по теме, потому что этот вопрос в первую очередь касается соответствия нормативным требованиям, а не компьютерному программированию. Это в некоторой степени касается системного администрирования, и некоторые компоненты ( но не все! ) Этого вопроса могут быть более подходящими при сбое сервера.
duskwuff 14 нояб. 2015, в 01:50
0

Не используйте SSL, SSL практически не существует и не должен использоваться абсолютно. SSL 2 устарел, и существуют различные проблемы с SSL 3 и многочисленными путями атаки, поэтому используйте TLS, хотя общая архитектура по-прежнему называется «SSL», все фактически используют TLS. Вы хотите TLS 1.2 как минимум, см. Community.qualys.com/blogs/securitylabs/2014/10/15/…
Martin 14 нояб. 2015, в 12:34
0

Было бы здорово услышать, что вы в итоге сделали, если хотите поделиться.
Richard 06 дек. 2015, в 13:47

Показать ещё 3 комментария

Теги:

php

paypal

pci-dss

pci-compliance

1 ответ

Ещё вопросы

5. Насколько я знаю, если вы храните детали, соответствие PCI необходимо.
@Darren Спасибо за ответ. Из других вопросов я узнал, что это также необходимо, если вы не храните какие-либо данные, а просто передаете данные.
Я голосую, чтобы закрыть этот вопрос как не по теме, потому что этот вопрос в первую очередь касается соответствия нормативным требованиям, а не компьютерному программированию. Это в некоторой степени касается системного администрирования, и некоторые компоненты ( но не все! ) Этого вопроса могут быть более подходящими при сбое сервера.
Не используйте SSL, SSL практически не существует и не должен использоваться абсолютно. SSL 2 устарел, и существуют различные проблемы с SSL 3 и многочисленными путями атаки, поэтому используйте TLS, хотя общая архитектура по-прежнему называется «SSL», все фактически используют TLS. Вы хотите TLS 1.2 как минимум, см. Community.qualys.com/blogs/securitylabs/2014/10/15/…
Было бы здорово услышать, что вы в итоге сделали, если хотите поделиться.

Richard · Accepted Answer · 2015-11-14T10-19-00.000Z

Только QSA может дать вам окончательные ответы на ваши вопросы, но я могу сообщить вам свое понимание требований PCI.

Если вы планируете использовать API, вы откроете свою область действия как минимум SAQ A-EP, и если данные CC коснутся вашего сервера, тогда вам, вероятно, понадобится заполнить SAQ D. Вы действительно хотите избежать этого, если вы Можно. Не можете ли вы использовать iFrame или перенаправить? Если это так, вы можете уйти с SAQ A, который поможет LOT. Я не уверен, что предлагает Paypal, но у Braintree есть сладкое решение iframe, которое может подключиться к Paypal, или вы можете использовать сервис, подобный Spreedly.

Да, вы можете использовать VPS, использовать PCI-совместимый провайдер, такой как AWS или Google Cloud. Используйте их соответствие для уменьшения объема вашей PCI.
V3.1 требований PCI говорят, что вы не можете использовать SSL v3 или меньше, поэтому TLS - это способ, но не уверен, почему вы используете старую версию, если это новая сборка. TLS - это в основном новая версия SSL, если это не ясно.
Если вы претендуете на SAQ A, вам может не понадобиться сканирование, хотя это все же хорошая идея. Если вы не претендуете на SAQ A, тогда вы отвечаете за брандмауэры и т.д., Даже используя совместимый с PCI VPS, он становится скользким уклоном и лучше избегать.
Кто требует от вас PCI-совместимого? PCI является только контрактным (лучше всего это проверить дважды), как правило, у торгового банка вы подписываете соглашение о том, что вам нужно быть совместимым с PCI, и они могут или не могут проверить это. Если вы делаете SAQ, вам не нужно отправлять его кому бы то ни было, только люди, которые его запрашивают (например, банк), вы захотите сохранить и обновить копию соответствия PCI вашим провайдерам (например, VPS провайдер).
Если в любом случае задействованы кредитные карты, вам почти наверняка нужна PCI, ваша лучшая надежда - SAQ A, похоже, что все игнорируют это, но вы рискуете, если что-то пойдет не так, любые штрафы и т.д. Будут переданы вы (опять же это зависит от того, на каких условиях вы согласились).

Ознакомьтесь с сайтом Совета PCI, есть руководства для веб-сайтов электронной торговли и всех форм SAQ и т.д. Удачи!