마 젠토 CE PCI 컴플라이언스

Magento CE에 대한 PCI 준수를 달성하기 위해 수행해야하는 단계는 무엇입니까?

예를 들어, 상점에서 Paypal 웹 사이트 결제 pro 또는 sage pay direct를 사용하면 PCI 준수를 달성하는 데 도움이됩니까?

CE가 PCI를 준수 할 수없는 이유는 없습니다

EE가 등장 할 때까지 EE는 또 다른 USP를 필요로 할 때까지 항상 PCI를 준수하는 것으로 간주되었습니다 . CC 세부 정보를 저장하지 않는 한 다른 데이터 (고객 이름 / 주소 등)를 암호화 할 필요가 없습니다.

그러나 PCI 컴플라이언스는 회사를 운영하고 중요한 정보를 처리하기위한 일련의 규칙 및 정의만큼 응용 프로그램 측면 요구 사항이라는 점을 명심하십시오.

SAQ

준수 수준에 따라 PCI 준수를 보장하기 위해 수행해야 할 사항이 결정됩니다. SAQ (자체 평가 설문지)가 귀하의 비즈니스 규모에 적합한 경우 외부 지불 방법 (예 : 설명 된 방법)을 사용할 때 CE를 사용하여 도움을받을 수 있습니다.

그렇지 않으면 SAQ 수준보다 높으면 QSA가 필요하며 전문가의 도움을 받아 큰 돈을 벌고 있습니다. 당신이 여기에서 요구하는 사실은 아마도 당신이이 경계에 있지 않다고 명시하고있을 것입니다.

당신은 아마 SAQ-D에 빠질 것입니다

결제 카드는 어떻게 받습니까?

A. 카드가없는 (전자 상거래 또는 우편 / 전화 주문) 판매자, 모든 카드 소지자 데이터 기능 외주. 이는 대면 판매자에게는 적용되지 않습니다.

B. 전자 카드 소지자 데이터 저장 장치가없는 인쇄물 전용 판매자 또는 전자 카드 소지자 데이터 저장 장치가없는 독립형 전화 접속 터미널 판매자.

C-VT. 웹 기반 가상 터미널 만 사용하고 전자 카드 소지자 데이터 저장 공간을 사용하지 않는 판매자.

C. 전자 카드 소지자 데이터 저장 장치가없는 인터넷에 결제 응용 시스템이 연결된 판매자.

D. 위의 SAQ 유형 A-C에 대한 설명에 포함되지 않은 다른 모든 판매자 및 지불 브랜드에 의해 SAQ를 완료 할 수 있다고 정의 된 모든 서비스 제공 업체.

https://www.pcisecuritystandards.org/smb/what_to_secure.html을 참조 하십시오

가맹점 / 거래 수준

1. 매년 6 백만 건 이상의 Visa 거래를 처리하는 판매자 (모든 채널) 또는 모든 Visa 지역에서 레벨 1로 식별 된 글로벌 판매자
2. 매년 1 백만 ~ 6 백만 건의 비자 거래를 처리하는 판매자 (모든 채널)
3. 매년 2 만에서 1 백만 건의 비자 전자 상거래를 처리하는 판매자
4. 매년 20,000 건 미만의 Visa 전자 상거래를 처리하는 판매자 및 매년 최대 1 백만 건의 Visa 거래를 처리하는 다른 모든 판매자

http://usa.visa.com/merchants/risk_management/cisp_merchants.html을 참조하십시오

중요한 것은 판매자 레벨과 SAQ 레벨을 구별하는 것입니다. 그들은 별개입니다. 레벨 2 판매자로서 SAQ-D가 될 수 있습니다. 실제로, 대부분의 경우 SAQ-D 레벨에서는 카드 데이터를 전혀 처리하지 않기 때문에 요구 사항이 완화되므로 레벨 2까지 자체 평가할 수 있습니다.

EE를 사용한다고해서 PCI 규격을 준수하는 것은 아니며, PCI 규격 호스트를 사용하는 것이 PCI 규격을 준수하지는 않습니다. 비즈니스 전체 (애플리케이션, 비즈니스 / 직원, 호스팅)는 모두 PCI를 준수해야합니다.

준수해야 할 PCI 수준은 보유 할 트랜잭션 수에 따라 다릅니다. 첫 번째 단계로 어느 레벨이 자신에게 적용되는지 알아 내야합니다.

1. 수락 채널에 관계없이 매년 6 백만 건 이상의 Visa 거래를 처리하는 모든 판매자. 비자의 재량에 따라 Visa가 결정하는 판매자는 비자 시스템에 대한 위험을 최소화하기 위해 레벨 1 판매자 요건을 충족해야합니다.
2. 승인 채널에 관계없이 매년 1M에서 6M까지의 비자 거래를 처리하는 모든 판매자.
3. 매년 2 만 건에서 1 백만 건의 비자 전자 상거래를 처리하는 모든 상인.
4. 연간 20,000 건 미만의 Visa 전자 상거래를 처리하는 모든 가맹점 및 수락 채널에 관계없이 다른 모든 가맹점은 연간 최대 1M의 비자 거래를 처리합니다.

http://usa.visa.com/merchants/risk_management/cisp_merchants.html 이것은 VISA의 것이지만 PCI에도 유사하게 적용됩니다

각 레벨마다 충족해야 할 요구 사항이 다릅니다. 평가를 마치면 CE를 통해 취해야 할 조치에 대해 더 자세한 답변을 제공 할 수있을 것입니다.

Enterprise Edition 에는 실제로 많은 양의 암호화를 처리하고 응용 프로그램과 다른 서버에서 실행할 수있는 Payment Bridge 라는 응용 프로그램이 제공됩니다. 이것은 대부분의 상황에서 과잉이 될 수 있으며 Magento Core 코드만큼 따르기 어려운 OO 조직에서 응용 프로그램 코드를 격리하고 디버깅 할 의지가 필요합니다.

PCI 규정 준수에는 실제로 CE가 완전히 PCI 규격을 준수하지 못하게하는 많은 작은 뉘앙스가 있습니다. CE에서 PCI를 준수하는 가장 빠르고 가장 좋은 방법은 타사 토큰 화 지불 게이트웨이 시스템을 사용하는 것입니다. Authorize.net CIM 또는 Cybersource Payment Profiles가 이미 통합 된 확장 기능과 기타 확장 기능이 있습니다. 즉, 올바르게 구현하면 고객이 저장 한 모든 것이 고객의 profileID이고 신용 카드 데이터는 지불 게이트웨이에 저장됩니다.

즉, 귀하의 질문에는 PCI 준수를 충족시키기 위해 개선하려는 거래에 대해 저장하려는 정보가 명확하게 표시되지 않는다고 생각합니다. 더 많은 정보가 없으면 특정 요구 사항의 아키텍처를 구체적으로 해결하기가 어렵습니다.

나는 일반적으로 두 가지 방법이라고 생각합니다.

1. 당신은 작은 가게이기 때문에 스스로하고 싶지 않습니다. 그런 다음 CE와 함께 머물러 지불 제공자를 사용하여 생각하십시오.

2. 당신은 대기업이며 많은 거래를 기대하고 스스로하고 싶어합니다. 그런 다음 EE를 사용하기에 충분한 돈이 있어야합니다.

오래된 답변 :

모든 신용 카드 데이터 (@sonassi 덕분)를 "PCIish"방식으로 암호화해야합니다. PCI 준수 비용을 확인하려면 많은 비용이 든다. 왜 이것을 원하십니까? EE를 사용하십시오 :-)

필요한 모든 정보는 PCI 웹 사이트 에서 찾을 수 있습니다

그리고 나는 표준을 아는 개발자가 많지 않다고 생각합니다.

PCI 준수는 아무 것도 할 수 없습니다. 이것을 원한다면 많은 돈을 소비해야하며 전문가가 필요합니다.

일부 PCI 제어를 빠르고 간단하게 배치하는 데 도움이되는 플러그인 (예 : 보안 회사 Foregenix에는 로깅, 파일 변경 모니터링 및 기타 기능을 수행하는 플러그인이 있음)이 있습니다. 하지만 규정 준수 측면에서 가장 쉬운 방법을 찾으려면 지불 게이트웨이에서 호스팅 된 지불 페이지를 사용하는 것이 좋습니다. 이를 통해 SAQ A-EP를 사용할 수 있습니다 (일반 호스팅 지불 페이지와 다른 것을 시도하지 않는 한).