8

次のようなショッピング カート フローがあります。

  • ページ 1。製品を選択
  • 2ページ目。単一ページのチェックアウトで、住所、配送先、クレジット カードの詳細を入力します。
  • 3ページ目。ユーザーは注文を確認しますが、アップセルする最後の機会が必要なので、請求額を変更できる必要があります。ユーザーがこのページを放棄した場合、請求や承認は行われませんが、電話番号を再度尋ねることなく、電話して注文するよう説得できる必要があります。

  • 4ページ。領収書ページ

  • 金額とスケジュールが変動する繰り返し請求は、後で行うための要件です。(ユーザーは、CC 番号を再度入力しなくても、戻ってスケジュールを変更できる必要があります)。

これが私がやりたくないことです:

  • ユーザーをサードパーティのページに移動します (単一ページのチェックアウトが必要で、ブランディングを保持するため)
  • PCI コンプライアンス要件を最小限に抑える
  • 支払いを承認し、ユーザーが確認しない場合はキャンセルします。これは多くのレベルで問題を引き起こしています!

確認ページが必要なので、 braintreepaymentsが提供するような何らかのトークン化システムを使用する必要があると思います。基本的に、クレジットカード番号をサービスに保存すると、その番号を表すトークンが返されます。その後、いつでもそのカードに対して任意の金額を請求できます。これは確かに最も柔軟なソリューションのようです。

私は、これが最善の解決策であるかどうかを判断しようとして、ぐるぐる回っています。

  • BrainTree がそのようなサービスを提供する唯一の会社かどうかはわかりませんが、本当に必要かどうかもわかりません。
  • ユーザーが確認するまでCCを一時的にセッションに保存すると、ほとんどすべての支払いゲートウェイを引き続き使用できます. したがって、問題は「CC を一時的にメモリに保存しても問題ないか」と、その程度です。

「最も純粋な」最も安全なアプローチは、braintree (または同様のゲートウェイを提供する他の誰か) にリダイレクトすることです。

編集(賞金を割り当てた後):

私は、PCIのレベル A を満たすだけでよいシステムが絶対に必要であると結論付けました。PCI をより詳細に研究しており、これらのアンケートは、カードを提示しない加盟店 (つまり、電子商取引) に関連するものです。

SAQ A : (CC 番号がサーバーに接続されていない場合)。オンラインで販売している場合でも、このアンケートに記入する必要がありますが、とても簡単です。

SAQ D : (保存しない場合でも、CC 番号がサーバーに接続される場合)

これらのアンケートを見ると、要件間に大きな差があることがわかります。PCI 要件は、「ファイアウォールを維持する」、「セキュリティ ポリシー」、「物理アクセスを制限する」などの単純なリストであると誤解されることがよくありますが、実際にアンケート D を読むと、非常に多くの質問と要件があることがわかります。 . たとえば、サーバーがビデオカメラで保護されているかどうか、およびサーバーでどのような種類のデータ暗号化が行われているかを回答する必要があります。

私がやりたいことを容易にする実際の製品やプロバイダーを知っていただければ幸いです。私にこれをさせてくれる会社が本当に1つか2つしかないのなら、私は知る必要があります.

Braintree とは何の関係もありませんが、彼らの電子メール マーケティング リストに参加することができました。彼らは、これを行うことができた唯一の会社です。同じことをしている別の会社を経営している場合は、ぜひ自分のラッパを吹いてください。PCI の要件は時間の経過とともに厳しくなる一方です。私の質問をここまで読んだことがある人なら、おそらくすでにそのことに気付いているでしょう。

4

4 に答える 4

5

はい、CC番号をメモリに保存するかどうかは重要です。カード番号がネットワークに接触した瞬間、あなたはPCIの対象になります。

私はBraintreeで働いていませんが、あなたが必要なことをしている会社で働いています。トークン化とデータを外部サイトにヒットさせることの組み合わせが必要です。外部サイトにリダイレクトする必要性を回避するソリューションがあります。(私はそれを作ることをかなり誇りに思っています、そして人々はそれに夢中になっています。)それはあなたが言及したすべてに対処するために特別に作られました。(はい、あなたは一人ではありません。)

たくさんの人がそれをやっていると確信しているので、私はあなたの検索を自己宣伝で偏らせるつもりはありません。(さらに、私は公式のマーケティング能力を持っていないので、自分自身に問題を引き起こしたくありません。)

幸運を。

更新:あなたは小さな会社でありながら、ティア1に到達することができます。それはすべてボリュームに関するものであり、最初に正しく実行した場合、より高いティアに到達しても変更はありません。CC番号を(トークン化または他のオプションのいずれかで)保存していない場合、サードパーティの監査人が関与する必要があるポイントに到達した場合、アプリケーションとサーバーはPCIに対して実行する必要があることから制限されます。それはただ一つの問題です。

カード番号がサーバーに到達した場合、そのサーバーのポイントまでのすべてがPCIの対象になります。CC番号を一時的にメモリに保存すると、サーバーのスコープが制限されるという事実を監査人が受け入れないのは非常にばかげています。しかし、あなたは正しいです。透過的なリダイレクト、2番目のサイトのリダイレクト、または単純なポストバックでさえ、データが盗まれないことを保証する方法はありません。PCIとは、データ侵害を困難にするための障害物を設置し、データの盗難を防ぐためにできる限りのことをしたと言えるようにすることです。(私の例えでは、PCIは、プロセッサに至るまでビジネスを行う人々ではなく、ユーザーの方向を指すように非難の指を揃えます。)

PCIの本当の大きな問題は、監査人が関与する必要があるポイントに到達した場合に、ルールがどの程度厳格に適用されるかを予測できないことです。すべての監査人はPCIDSS要件をわずかに異なる方法で解釈し、ROCレポートを確認している人でさえ、あなたがしていることが気に入らないと突然判断する可能性があります。何を心配しているのかは問題ではありません。重要なのは、PCIの人々があなたのROCを受け入れるのか、それともルールの新しい解釈を強制するのかということです。

私はPCIを経験している多くの監査人や多くの大企業と協力してきました。現在の解釈では、範囲を制限するということは、カード番号がネットワークにアクセスできないことを意味します。それがあなたにどのように影響するかは、あなたの現在または将来のボリュームに完全に依存しています。

于 2009-11-23T04:38:33.543 に答える
4

ユーザーを別のサイトにリダイレクトしない場合は、フォーム D に記入する必要があります。ディスクに書き込まれていない場合でも、PAN を持つすべてのシステムに適用されます。始めたばかりの場合は、それを回避できるようにリダイレクト ルートを使用することをお勧めします。PayPal のクレジット カード サービスは、実際にはこれに対する妥当な選択です。少なくとも、それらは大きくてしっかりしていて、どこにも行きそうにありません。

PCI に完全に準拠するには、時間と費用がかかります。ビジネスがある程度の収益を上げるまで、それを延期するのが一般的には最善だと思います。

于 2009-12-04T15:18:19.370 に答える
3

一般的な経験則は次のとおりです。PAN(CC#)や有効期限を読み取ったり、保存したり、処理したりしない場合は、PCIコンプライアンスは必要ありません。そのカード番号にリモートで触れる場合でも、PCIコンプライアンスを受ける必要があります。

簡単にしてPayPalを使ってみませんか?

于 2009-12-01T17:01:43.857 に答える
1

PCI 要件を最小限に抑えたい場合は、Hosted Payment Page にリダイレクトするか、iFrame ソリューションを使用してください。詳細については、私が執筆に協力したDrupal PCI Compliance ホワイト ペーパーを参照してください。

于 2015-01-09T04:37:32.780 に答える