Conformidade PCI para o site de comércio eletrônico médio na nuvem

2

Estou criando um site de comércio eletrônico "médio" (usando drupal e ubercart se isso for importante). Eu li sobre o cumprimento do PCI no passado, e é por isso que estou me perguntando como posso ver o que se aplica à minha situação. Provavelmente irei com "servidores em nuvem rackspace", embora possamos acabar usando a nuvem amazon. Não parece que deve haver realmente nenhum requisito, desde que eu tenha um certificado ssl funcionando, além de não armazenar os cartões de crédito no meu servidor. Se eu estou usando authorize.net ou algo similar, parece que a maior parte da conformidade será da parte deles.

Quando preciso aprender mais? (Antes de eu escolher um host e obter um servidor pronto para ser usado)

Como posso aprender mais?

Algum conselho / dicas gerais?

    
por Matthew 30.05.2011 / 20:35

2 respostas

7

Meu conselho (ter passado por auditorias completas de conformidade com a PCI) seria usar um processador de pagamento de terceiros, a menos que você tenha volume, experiência e mão de obra internos significativos. Isso deve reduzir sua exposição ao SAQ-A, o que significa que você precisa simplesmente preencher um questionário.

Se você está processando cartões no local (ou seja, através de seu software / servidores / rede, etc.), então é mais provável que você esteja usando o SAQ-C e precise passar por vários obstáculos.

Encontre um processador de pagamento que seja compatível com o PCI e assuma a propriedade da transação. ou seja, você redirecionaria para o site deles para oferecer o pagamento.

Quais processadores de pagamentos são compatíveis com PCI, são relevantes em sua localização, pois os tipos de cartões que você deseja processar etc. podem ser muito específicos para você. Essa é uma tarefa de pesquisa para você.

    
por 30.05.2011 / 21:11
1

Você só precisa de PCI se estiver lidando com números de cartão de crédito. A escolha inteligente seria deixar qualquer coisa relacionada a cartões de crédito e manuseio de dados deles para o seu PSP (Provedor de Serviços de Pagamento) e somente lidar com o nome / endereço do cliente e tal em seu próprio site.

    
por 30.05.2011 / 21:01