Hospedagem PCI Compliant? (capaz de levar cartões de crédito)

Eu investiguei o processo de conformidade com a PCI para minha pequena organização sem fins lucrativos há alguns meses. Nesse ponto, o processo de conformidade com PCI é uma farsa. É quase impossível para qualquer pequena empresa cumprir o processo de certificação PCI, usando ou não um datacenter compatível com PCI.

A maneira como o processo de PayPal PayflowPro funciona, é que o seu O cliente faz um pedido no seu site e, em seguida, ele é encaminhado para a página de pagamento do PayPal (personalizado ao seu gosto) para inserir o pagamento e o gateway envia um 'OK' ao seu site, informando que o pagamento foi processado.

Isso difere do que aconteceu no passado, ou seja, eles inseriam as informações do cartão de crédito em seu site e, em seguida, você passava essas informações para um gateway de comerciante, o que dava ao seu site o OK. Existem outros processadores comerciais que fazem a mesma coisa, como authorize.net e Google Payments .

Essa alteração significa que o seu site e o servidor hospedado não precisam estar em conformidade com PCI, pois as informações do cartão de crédito nunca passam por ele. Espero que isso não seja um desabafo, mas o Como eles têm implementado PCI e 'assustando' clientes com conformidade com PCI, e cobrando taxas ao longo do caminho, tem sido uma piada.

Você encontrará muitas empresas dispostas a vender serviços de conformidade com o PCI (mesmo neste site), mas, na minha opinião, é apenas um snakeoil.

@ Christopher

Eu concordo totalmente com você. Eu estava com medo de fechar a loja em uma loja que eu ainda não tinha aberto! Até que eu olhei para o site PCI Compliance ( link ). Fiquei revoltado com a forma como as grandes empresas têm assustado as pequenas empresas a pagar por essas soluções PCI Compliance. A Conformidade com PCI não é uma lei ( link ), mas em um estado (Massachusetts) e não há outros estados pressionando ativamente para as leis de conformidade com PCI. Além disso, há uma lista de verificação simples de 12 etapas para garantir a conformidade com PCI. Entre eles, não há armazenamento de informações de cartão de crédito, ter um firewall no servidor, etc. Existem soluções de hospedagem que fornecem firewalls e softwares de segurança nos servidores gratuitamente. Além disso, você está certo, se você estiver usando um provedor de serviços de pagamento, o trabalho deles é compatível com PCI, desde que nenhuma informação do cartão seja processada ou armazenada em seu site. Os honorários e a prisão que as pessoas têm usado para assustar pequenas empresas só se aplicam se um cliente foi comprometido devido a uma violação de sua parte. Conforme indicado no site oficial do PCI DSS ( link ), um comerciante pode seguir as seguintes etapas para ser considerado compatível com PCI. , seguido por um questionário de auto-avaliação, e uma verificação de segurança que deve ser sempre gratuita:

Requisito 1:
Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão
Requisito 2:
Não use padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança
Requisito 3:
Proteger os dados armazenados do titular do cartão
Requisito 4:
Criptografar a transmissão dos dados do portador do cartão em redes públicas abertas
Requisito 5:
Use e atualize regularmente o software antivírus
Requisito 6:
Desenvolver e manter sistemas e aplicativos seguros
Requisito 7:
Restringir o acesso aos dados do portador do cartão por empresas que precisam conhecer
Requisito 8:
Atribuir um ID exclusivo a cada pessoa com acesso ao computador
Requisito 9:
Restringir o acesso físico aos dados do titular do cartão
Requisito 10:
Rastrear e monitorar todo o acesso a recursos de rede e dados de titulares de cartão
Requisito 11:
Testar regularmente os sistemas e processos de segurança
Requisito 12:
Manter uma política que aborde a segurança das informações

Além disso, apenas ter um carrinho de compras compatível com PCI NÃO torna um comerciante PCI Compliant. Conformidade com PCI é mais um problema de servidor / banco de dados.

Eu concordo. Desde que as empresas de cartão de crédito estão levando a conformidade com a lei PCI. Eles devem fornecer as varreduras e soluções de graça. Do jeito que eu vejo, as empresas de cartão de crédito criaram um novo fluxo de receita para empresas de segurança como Norton, McAfee, CA e a lista cresce. O que não precisamos aqui é que eles nos imponham a sua conformidade, o que é um custo proibitivo para as pequenas empresas que administramos. Afinal de contas ... são as pequenas empresas que estão gerando receita de toneladas para os gigantes do cartão de crédito.

Então, quem realmente está se beneficiando do cumprimento?

A maioria das lojas de comércio eletrônico está fazendo o melhor para cuidar da segurança. Agora vem o dedo apontando sessões. É a empresa de hospedagem, são os bancos, são os gigantes do cartão de crédito. A realidade diz que os bandidos estão hackeando nossos sites. Quem vai torná-los compatíveis?

Esqueci-me de mencionar advogados = lobistas e outros irão beneficiar de outras formas desta farsa. Enquanto nós saímos para secar.

A obtenção da conformidade com a PCI pode ser cara e demorada. A auditoria média do PCI custa entre US $ 250.000 e US $ 500.000 para obter conformidade inicial de acordo com um estudo de março de 2010 conduzido pelo Ponemon Institute. Muitas empresas falham na auditoria pela primeira vez, mas ao trabalhar com um provedor que oferece soluções de hospedagem PCI, você pode ficar claro com as despesas e auditorias. O fato é que ainda é caro e, como mencionado, faz parte dos requisitos padrão da indústria para a segurança das transações com cartão de crédito.