Conformité Magento CE PCI

Quelles sont les étapes à suivre pour atteindre la conformité PCI pour Magento CE?

Par exemple, l'utilisation de paiements sur le site Web Paypal pro ou sage pay direct dans un magasin aiderait à atteindre la conformité PCI?

Il n'y a aucune raison pour que CE ne soit pas conforme PCI

Il a toujours été considéré comme conforme à la norme PCI - jusqu'à ce que EE arrive, alors EE avait besoin d'un autre USP. Tant que vous ne stockez pas les détails CC - il n'y a aucune exigence de cryptage des autres données (nom / adresse du client, etc.).

Mais gardez à l'esprit que la conformité PCI est autant une exigence côté application qu'un ensemble de règles et de définitions pour gérer votre entreprise et gérer les informations sensibles.

SAQ

Le niveau de conformité dans lequel vous vous trouvez dictera ce que vous devez faire pour garantir la conformité PCI. Si le SAQ (questionnaire d'auto-évaluation) convient à la taille de votre entreprise, vous pouvez passer sans aide avec CE - lorsque vous utilisez un mode de paiement externe (tel que ceux décrits).

Sinon, au-dessus des niveaux SAQ - vous aurez quand même besoin d'un QSA - et vous parlez gros avec une assistance professionnelle. Le fait que vous demandez ici stipule probablement que vous n'êtes pas dans cette limite.

Vous tomberiez probablement sous SAQ-D

Comment acceptez-vous les cartes de paiement?

A. Commerçants sans carte (e-commerce ou commande par courrier / téléphone), toutes les fonctions de données du titulaire de carte sont externalisées. Cela ne s'appliquerait jamais aux marchands en face à face.

B. Commerçants avec impression uniquement sans stockage électronique des données des titulaires de carte, ou marchands autonomes avec terminaux à accès direct sans stockage électronique des données des titulaires de carte.

C-VT. Commerçants utilisant uniquement des terminaux virtuels basés sur le Web, pas de stockage de données de titulaire de carte électronique.

C. Commerçants disposant de systèmes d'application de paiement connectés à Internet, pas de stockage électronique des données des titulaires de carte.

D. Tous les autres commerçants non inclus dans les descriptions des types de SAQ A à C ci-dessus, et tous les fournisseurs de services définis par une marque de paiement comme étant éligibles pour remplir un SAQ.

Voir https://www.pcisecuritystandards.org/smb/what_to_secure.html

Niveau marchand / transaction

1. Commerçants traitant plus de 6 millions de transactions Visa par an (tous canaux) ou marchands mondiaux identifiés comme niveau 1 par n'importe quelle région Visa 2
2. Commerçants traitant 1 à 6 millions de transactions Visa par an (tous canaux)
3. Commerçants traitant de 20 000 à 1 million de transactions de commerce électronique Visa chaque année
4. Commerçants traitant moins de 20 000 transactions Visa e-commerce par an et tous les autres commerçants traitant jusqu'à 1 million de transactions Visa par an

Voir http://usa.visa.com/merchants/risk_management/cisp_merchants.html

Ce qui est important, c'est de différencier le niveau marchand et le niveau SAQ. Ils sont séparés. Vous pouvez être SAQ-D en tant que marchand de niveau 2. En fait, dans la plupart des cas, vous pouvez vous auto-évaluer jusqu'au niveau 2 lorsque vous êtes au niveau SAQ-D - car les exigences sont plus détendues car vous ne manipulez pas du tout les données de la carte.

Le simple fait d'utiliser EE ne vous rend pas conforme PCI, de la même manière que l'utilisation d'un hôte conforme PCI ne vous rend pas conforme PCI. Votre entreprise dans son ensemble (application, entreprise / personnel, hébergement) doit être conforme à la norme PCI.

Le niveau PCI auquel vous devez vous conformer dépend du nombre de transactions que vous allez probablement avoir. Dans un premier temps, vous devez déterminer le niveau qui vous conviendrait:

1. Tout commerçant - quel que soit le canal d'acceptation - traitant plus de 6 millions de transactions Visa par an. Tout commerçant que Visa, à sa seule discrétion, détermine doit satisfaire aux exigences des commerçants de niveau 1 afin de minimiser les risques pour le système Visa.
2. Tout commerçant - quel que soit le canal d'acceptation - traitant 1 à 6 millions de transactions Visa par an.
3. Tout commerçant traitant 20 000 à 1 M de transactions de commerce électronique Visa par an.
4. Tout commerçant traitant moins de 20 000 transactions de commerce électronique Visa par an, et tous les autres commerçants - quel que soit le canal d'acceptation - traitant jusqu'à 1 million de transactions Visa par an.

http://usa.visa.com/merchants/risk_management/cisp_merchants.html ceci provient de VISA mais s'appliquerait de la même manière au PCI

Avec chaque niveau, vous aurez différentes exigences à remplir. Une fois l'évaluation terminée, je suis sûr que quelqu'un pourra vous donner une réponse plus détaillée sur les étapes à suivre avec CE.

Enterprise Edition est livré avec une application appelée Payment Bridge qui gère une très bonne quantité de cryptage et peut être exécutée sur un serveur distinct de votre application. Cela peut être excessif pour la plupart des contextes et nécessite la volonté d'isoler et de déboguer le code d'application dans une organisation OO qui n'est pas aussi facile à suivre que le code Magento Core.

La conformité PCI a de nombreuses petites nuances qui ne rendent pas CE complètement conforme à la norme PCI. La manière la plus rapide et souvent la meilleure de se conformer à la norme PCI sur CE consiste à utiliser un système de passerelle de paiement à jeton tiers. Il existe quelques extensions qui ont déjà intégré Authorize.net CIM, ou Cybersource Payment Profiles, et quelques autres. Cela signifie que lorsqu'il est correctement mis en œuvre, vous ne stockez que l'ID de profil du client et les données de la carte de crédit sont stockées sur la passerelle de paiement.

Cela dit, je ne pense pas que votre question indique clairement les informations que vous souhaitez stocker sur la transaction que vous souhaitez améliorer pour respecter la conformité PCI. Sans plus d'informations, il est difficile d'aider à résoudre l'architecture de votre exigence particulière avec une spécificité.

Je pense qu'il y a normalement deux façons:

1. Vous ne voulez pas le faire vous-même, car vous êtes un petit magasin, alors vous devriez rester avec le CE et utiliser un fournisseur de paiement pour le faire, pense à votre place

2. Vous êtes une grande entreprise et attendez beaucoup de transactions et souhaitez le faire vous-même. Ensuite, vous devriez avoir suffisamment d'argent pour utiliser l'EE.

ANCIENNE RÉPONSE:

Vous devez crypter toutes les données de carte de crédit (grâce à @sonassi) de manière "PCIish", et bien plus encore. Vérifier la conformité PCI coûte très cher à afaik. Pourquoi vous voulez ceci? Utilisez l'EE :-)

Toutes les informations dont vous avez besoin se trouvent sur le site Web PCI

Et je ne pense pas qu'il y ait beaucoup de développeurs ici, qui connaissent la norme, moi non plus.

La conformité PCI n'a rien à voir avec. Si vous voulez cela, vous devez dépenser beaucoup d'argent et vous avez besoin d'experts.

Il existe des plugins (par exemple, la société de sécurité Foregenix en a un qui fait la journalisation, la surveillance des modifications de fichiers et quelques autres choses) qui peuvent aider à mettre en place rapidement et simplement certains des contrôles PCI. Mais si vous cherchez à emprunter le chemin le plus simple du point de vue de la conformité, vous devriez vraiment envisager d'utiliser une page de paiement hébergée à partir de votre passerelle de paiement. Cela vous permettra d'utiliser SAQ A-EP (tant que vous n'essayez pas de faire quelque chose de différent de la page de paiement hébergée ordinaire).