4

支払いゲートウェイを使用し、ホストされているページを使用しないことに決めたと仮定しますが、このページで説明されているように、独自のクレジット カード詳細フォームを提供し、xml 経由でバックエンドにデータを送信します。それで:

  1. PCI コンプライアンスについて心配する必要はありますか? その場合、私、私のホスティング会社、または支払いゲートウェイの担当者は、どの手順 ( PCI Web サイト) を整理する必要がありますか?
  2. フォームが SSL である限り、サイトは自動的に準拠すると言われました。そうですか?

助けてくれてありがとう

4

4 に答える 4

6

1) クレジット カード情報を扱う場合は、いつでも PCI に準拠する必要があります。コーディングの問題を整理する必要があり、ホストはサーバーのハードウェアとソフトウェアの問題に対処する必要があり、支払いゲートウェイ会社には処理すべき問題がたくさんあります (これはここにリストするには長すぎるリストですが、あなたは必要ありません)。とにかく心配する必要があります)。

2) いいえ。SSL は PCI に準拠するのに役立ちますが、PCI 準拠には、データがユーザーからサーバーに送信される方法以上のものがあります。そのデータをどう処理するか、またどのように処理するかも重要です。たとえば、クレジット カード情報を保存する場合は、暗号化を使用し、PCI によってストレージから禁止されている値 (つまり、CVV 番号) を保存しないようにする必要があります。この情報をセッションに入れることは、ストレージとしてカウントされます。

于 2010-07-08T13:31:27.023 に答える
1

質問1への回答:はい、PCIコンプライアンスについてさらに心配する必要があります。

質問2への回答: SSLフォームを使用してクレジットカード情報を収集すると、クライアントからサーバーへのデータの安全な送信が処理されます。したがって、クレジットカードデータをサーバーに保存する予定がない場合は、これで十分です。クレジットカードデータを保存する場合は、クレジットカードデータの保存についてPCIDSSに準拠する必要があります。

于 2010-07-09T07:47:18.270 に答える
1

他のコメントで表面化していない側面の 1 つは、PCI-DSS が実装された運用システムに対して評価され、そのシステムの最も重要なコンポーネントが人間のプロセスと制御であるということです。「私のサイトは自動的に準拠する」という前提には、PCI-DSS に照らして、文脈を無視してテクノロジの一部を評価することが可能であるという前提が含まれています。

カスタム アプリケーションは、PCI-DSS および PA-DSS の定義により、それ自体のメリットだけで PCI 準拠を宣言することはできません。カスタマイズ不可能なターンキー ソリューションであるアプリケーションとハードウェアは、PA-DSS に対して評価できますが、実装されたシステムとそれに関連する人間による制御とプロセスのコンテキストから外して、PCI 準拠として認定することはできません。

要件 2、10、11、および 12 は、アプリケーションの外部にあり、人間の手順とタスクを表すシステム制御に完全に関係しています。他の要件のうち、それぞれをよく見ると、人間のプロセスと制御に直接的または間接的に制約を課していることがわかります。

したがって、PCI の技術要件に関する他のアドバイスを必ず読んで吸収してください。ただし、完成したアプリケーションが、動作し、実装されたシステムのコンテキスト外で PCI 準拠であると宣言できるという考えは捨ててください。より良いアプローチは、アプリ設計の技術的な詳細に直接関係しない要件を検討し、アプリが顧客がそれらの要件を満たすのにどのように役立つかを自問することです. たとえば、あなたのアプリは、顧客が「ネットワーク リソースとカード所有者データへのすべてのアクセスを追跡および監視する」ことを容易にしますか? (要件 10)

多くのアプリケーション ベンダーは、要件 12 の「すべての担当者の情報セキュリティに対処するポリシーを維持する」はまったく適用されないという立場をとっています。しかし、顧客はよく戻ってきて、この評価項目でアプリが役に立ったのか、それとも損をしたのかについて、鋭い質問をします。お客様は、違反を防止、検出、および復旧する方法についてスタッフをトレーニングする責任があり、セキュリティ スキャナーと相互運用するアプリケーションの機能、構成とデータのバックアップ、または以前の時点に復元する機能はすべて重要です。PCI では、ベンダーが発行したセキュリティ関連のパッチを 90 日以内に適用する必要があるため、顧客は、これらのことを通知する方法と場所、パッチの適用がどれほど簡単か、または混乱を招くか、アプリを停止する必要があるかどうかを知りたいと考えています。それらを適用するなど。

うまくいけば、かなり詳細な評価により、TLS 暗号化の使用に失敗した、HTTP 経由でログイン ページをレンダリングした、またはリセット リンクを送信せずにパスワードを回復したなどの明らかな技術的エラーがあるすべてのアプリが除外されるでしょう。PCI ガイドラインの技術的側面のみを遵守しようとする熱意は、新しいアプリをコモディティのレベルに引き上げることを許すだけです。市場でアプリを差別化するには、アプリの直接の責任ではないPCI 要件を顧客が満たせるようにアプリを設計します。

于 2012-09-22T02:08:57.667 に答える
1

私はDrupal PCI Compliance ホワイト ペーパーの作成を手伝いました。このホワイト ペーパーでは、サイトをコンプライアンスに準拠させようとする際に、これらの質問やその他の多くの質問に対する回答を提供しています。Drupal を使用していない場合でも、このドキュメントで説明されている原則は高レベルであり、ワードプレス、Joomla、またはその他の e コマース CMS に簡単に適用できます。

于 2015-01-09T04:27:46.233 に答える