Hospedagem PCI Compliant? (capaz de levar cartões de crédito)

3

Estou usando a hospedagem 1and1 há algum tempo e, no geral, estou satisfeito com o nível de suporte deles e com a facilidade de uso do painel de administração deles.

No entanto, vou me dedicar apenas a fazer meu material de reparo de PC para fazer algum comércio eletrônico ... Para processar cartões de crédito usando o profissional do PayPal, preciso de um host compatível com PCI, e estou tentando avaliar minhas opções. Alguém tem alguns links que gostaria de compartilhar?

    
por Chris Sobolewski 23.09.2009 / 19:03

4 respostas

13

Eu investiguei o processo de conformidade com a PCI para minha pequena organização sem fins lucrativos há alguns meses. Nesse ponto, o processo de conformidade com PCI é uma farsa. É quase impossível para qualquer pequena empresa cumprir o processo de certificação PCI, usando ou não um datacenter compatível com PCI.

O que vem a baixo é que a indústria de cartão de crédito está tentando pode a besta que tem crescido nos últimos 30 anos. O processo de conformidade com o PCI destina-se a forçar as empresas a usarem os principais processadores de cartão de crédito para processar qualquer transação com cartão de crédito, garantindo que as informações de cartão de crédito nunca estejam nas mãos (ou computadores) do comerciante final.

A maneira como o processo de PayPal PayflowPro funciona, é que o seu O cliente faz um pedido no seu site e, em seguida, ele é encaminhado para a página de pagamento do PayPal (personalizado ao seu gosto) para inserir o pagamento e o gateway envia um 'OK' ao seu site, informando que o pagamento foi processado.

Isso difere do que aconteceu no passado, ou seja, eles inseriam as informações do cartão de crédito em seu site e, em seguida, você passava essas informações para um gateway de comerciante, o que dava ao seu site o OK. Existem outros processadores comerciais que fazem a mesma coisa, como authorize.net e Google Payments .

Essa alteração significa que o seu site e o servidor hospedado não precisam estar em conformidade com PCI, pois as informações do cartão de crédito nunca passam por ele. Espero que isso não seja um desabafo, mas o Como eles têm implementado PCI e 'assustando' clientes com conformidade com PCI, e cobrando taxas ao longo do caminho, tem sido uma piada.

Você encontrará muitas empresas dispostas a vender serviços de conformidade com o PCI (mesmo neste site), mas, na minha opinião, é apenas um snakeoil.

    
por 23.09.2009 / 19:41
1

@ Christopher

Eu concordo totalmente com você. Eu estava com medo de fechar a loja em uma loja que eu ainda não tinha aberto! Até que eu olhei para o site PCI Compliance ( link ). Fiquei revoltado com a forma como as grandes empresas têm assustado as pequenas empresas a pagar por essas soluções PCI Compliance. A Conformidade com PCI não é uma lei ( link ), mas em um estado (Massachusetts) e não há outros estados pressionando ativamente para as leis de conformidade com PCI. Além disso, há uma lista de verificação simples de 12 etapas para garantir a conformidade com PCI. Entre eles, não há armazenamento de informações de cartão de crédito, ter um firewall no servidor, etc. Existem soluções de hospedagem que fornecem firewalls e softwares de segurança nos servidores gratuitamente. Além disso, você está certo, se você estiver usando um provedor de serviços de pagamento, o trabalho deles é compatível com PCI, desde que nenhuma informação do cartão seja processada ou armazenada em seu site. Os honorários e a prisão que as pessoas têm usado para assustar pequenas empresas só se aplicam se um cliente foi comprometido devido a uma violação de sua parte. Conforme indicado no site oficial do PCI DSS ( link ), um comerciante pode seguir as seguintes etapas para ser considerado compatível com PCI. , seguido por um questionário de auto-avaliação, e uma verificação de segurança que deve ser sempre gratuita:

Requisito 1:
Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão
Requisito 2:
Não use padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança
Requisito 3:
Proteger os dados armazenados do titular do cartão
Requisito 4:
Criptografar a transmissão dos dados do portador do cartão em redes públicas abertas
Requisito 5:
Use e atualize regularmente o software antivírus
Requisito 6:
Desenvolver e manter sistemas e aplicativos seguros
Requisito 7:
Restringir o acesso aos dados do portador do cartão por empresas que precisam conhecer
Requisito 8:
Atribuir um ID exclusivo a cada pessoa com acesso ao computador
Requisito 9:
Restringir o acesso físico aos dados do titular do cartão
Requisito 10:
Rastrear e monitorar todo o acesso a recursos de rede e dados de titulares de cartão
Requisito 11:
Testar regularmente os sistemas e processos de segurança
Requisito 12:
Manter uma política que aborde a segurança das informações

Além disso, apenas ter um carrinho de compras compatível com PCI NÃO torna um comerciante PCI Compliant. Conformidade com PCI é mais um problema de servidor / banco de dados.

    
por 07.08.2010 / 21:14
0

Eu concordo. Desde que as empresas de cartão de crédito estão levando a conformidade com a lei PCI. Eles devem fornecer as varreduras e soluções de graça. Do jeito que eu vejo, as empresas de cartão de crédito criaram um novo fluxo de receita para empresas de segurança como Norton, McAfee, CA e a lista cresce. O que não precisamos aqui é que eles nos imponham a sua conformidade, o que é um custo proibitivo para as pequenas empresas que administramos. Afinal de contas ... são as pequenas empresas que estão gerando receita de toneladas para os gigantes do cartão de crédito.

Então, quem realmente está se beneficiando do cumprimento?

A maioria das lojas de comércio eletrônico está fazendo o melhor para cuidar da segurança. Agora vem o dedo apontando sessões. É a empresa de hospedagem, são os bancos, são os gigantes do cartão de crédito. A realidade diz que os bandidos estão hackeando nossos sites. Quem vai torná-los compatíveis?

Esqueci-me de mencionar advogados = lobistas e outros irão beneficiar de outras formas desta farsa. Enquanto nós saímos para secar.

    
por 15.11.2010 / 21:17
-1

A obtenção da conformidade com a PCI pode ser cara e demorada. A auditoria média do PCI custa entre US $ 250.000 e US $ 500.000 para obter conformidade inicial de acordo com um estudo de março de 2010 conduzido pelo Ponemon Institute. Muitas empresas falham na auditoria pela primeira vez, mas ao trabalhar com um provedor que oferece soluções de hospedagem PCI, você pode ficar claro com as despesas e auditorias. O fato é que ainda é caro e, como mencionado, faz parte dos requisitos padrão da indústria para a segurança das transações com cartão de crédito.

    
por 18.11.2010 / 16:34