Magento CE PCI अनुपालन

22

Magento CE के लिए PCI अनुपालन को प्राप्त करने के लिए कौन से कदम उठाने की आवश्यकता है?

उदाहरण के लिए, पेपैल वेबसाइट भुगतान प्रो या ऋषि के भुगतान का उपयोग करके सीधे एक दुकान में पीसीआई अनुपालन प्राप्त करने में मदद मिलेगी?

payment-gateway 
blakcaps
स्रोत
आपको "PCIish" तरीके से सभी डेटा को एन्क्रिप्ट करना होगा। पीसीआई अनुपालन लागतों की जांच करने के लिए बहुत सारे पैसे खर्च होते हैं। आप ऐसा क्यों चाहते हैं? ईई :-) का प्रयोग करें
फेबियन ब्लेसस्मिट
यदि आप संभावित कठिनाइयों से बचना चाहते हैं, तो इसके बजाय एक होस्टेड भुगतान पद्धति का उपयोग करें। SagePay सर्वर या पेपैल मानक की तरह।
बेन लेसानी - सोनासी

जवाबों:

15

कोई कारण नहीं है कि सीई पीसीआई कंप्लेंट क्यों नहीं हो सकता है

इसे हमेशा PCI कंप्लेंट होने के रूप में माना जाता था - जब तक ईई साथ नहीं आया, तब ईई को एक और यूएसपी की आवश्यकता थी। जब तक आप CC विवरण संग्रहीत नहीं कर रहे हैं - अन्य डेटा (ग्राहक का नाम / पता आदि) के एन्क्रिप्शन की कोई आवश्यकता नहीं है।

लेकिन इस बात को ध्यान में रखें कि पीसीआई कम्प्लायंस एक एप्लीकेशन साइड की आवश्यकता है क्योंकि यह आपकी कंपनी को चलाने और संवेदनशील जानकारी को संभालने के लिए नियमों और परिभाषाओं का एक समूह है।

SAQ

पीसीआई अनुपालन सुनिश्चित करने के लिए आपको किस स्तर के अनुपालन में गिरावट आएगी, इसके लिए आपको क्या करना होगा। यदि SAQ (सेल्फ असेसमेंट प्रश्नावली) आपके व्यवसाय के आकार के लिए उपयुक्त है, तो आप बाह्य भुगतान विधि (जैसे कि वर्णित) का उपयोग करते समय CE के साथ अनएडेड पास कर सकते हैं।

अन्यथा, SAQ स्तरों से ऊपर - आपको वैसे भी QSA की आवश्यकता होगी - और आप पेशेवर सहायता के साथ बड़ी धनराशि की बात कर रहे हैं। तथ्य यह है कि आप यहाँ पूछ रहे हैं शायद आप इस सीमा में नहीं हैं।

आप संभवतः SAQ-D के अंतर्गत आते हैं

आप भुगतान कार्ड कैसे स्वीकार करते हैं?

A. कार्ड-नॉट-प्रेजेंट (ई-कॉमर्स या मेल / टेलीफोन-ऑर्डर) व्यापारी, सभी कार्डधारक डेटा फ़ंक्शंस आउटसोर्स किए जाते हैं। यह कभी भी आमने-सामने के व्यापारियों पर लागू नहीं होगा।

ख। केवल इलेक्ट्रॉनिक कार्डधारक डेटा स्टोरेज या केवल स्टैंडअलोन के साथ छाप व्यापारी, बिना इलेक्ट्रॉनिक कार्डधारक डेटा स्टोरेज वाले डायल-आउट टर्मिनल व्यापारी।

सी-वीटी। केवल वेब-आधारित वर्चुअल टर्मिनलों का उपयोग करने वाले व्यापारी, कोई इलेक्ट्रॉनिक कार्डधारक डेटा भंडारण नहीं।

C. व्यापारी जो इंटरनेट से जुड़े भुगतान प्रणाली से जुड़े हैं, कोई इलेक्ट्रॉनिक कार्डधारक डेटा संग्रहण नहीं है।

डी। अन्य सभी व्यापारी उपरोक्त सी के माध्यम से एसएक्यू प्रकार ए के लिए विवरण में शामिल नहीं हैं, और एक एसएक्यू पूरा करने के लिए भुगतान ब्रांड के रूप में परिभाषित सभी सेवा प्रदाताओं।

Https://www.pcisecuritystandards.org/smb/what_to_secure.html देखें

व्यापारी / लेनदेन स्तर

  1. 6 मिलियन से अधिक वीज़ा लेनदेन सालाना (सभी चैनल) या वैश्विक व्यापारी किसी भी वीज़ा क्षेत्र 2 के स्तर 1 के रूप में पहचाने जाते हैं
  2. व्यापारियों को सालाना 1 मिलियन से 6 मिलियन वीज़ा लेनदेन (सभी चैनल)
  3. व्यापारी सालाना 20,000 से 1 मिलियन वीज़ा ई-कॉमर्स लेनदेन करते हैं
  4. व्यापारी सालाना 20,000 से कम वीज़ा ई-कॉमर्स लेनदेन और अन्य सभी व्यापारी प्रतिवर्ष 1 मिलियन वीज़ा लेनदेन का प्रसंस्करण करते हैं

Http://usa.visa.com/merchants/risk_management/cisp_merchants.html देखें

क्या महत्वपूर्ण है व्यापारी स्तर और SAQ स्तर को अलग करना। वे अलग हैं। आप स्तर 2 के व्यापारी के रूप में SAQ-D हो सकते हैं। वास्तव में, ज्यादातर मामलों में आप स्तर 2 तक का आत्म-मूल्यांकन कर सकते हैं जब स्तर SAQ-D - आवश्यकताएं अधिक आराम से होती हैं क्योंकि आप कार्ड डेटा को बिल्कुल भी नहीं संभाल रहे हैं।

केवल ईई का उपयोग करने से आप पीसीआई कंप्लेंट नहीं बनाते हैं, उसी तरह पीसीआई कंप्लेंट होस्ट का उपयोग करने से आप पीसीआई कंप्लेंट नहीं कर सकते हैं। एक पूरे के रूप में आपका व्यवसाय (अनुप्रयोग, व्यवसाय / कर्मचारी, होस्टिंग) सभी को PCI अनुरूप होना चाहिए।

बेन सबकानी - सोनासी
स्रोत
2

आपके द्वारा पालन किए जाने वाले पीसीआई स्तर पर निर्भर करता है कि आपके द्वारा कितने लेनदेन होने की संभावना है। पहले कदम के रूप में आपको यह पता लगाना चाहिए कि कौन सा स्तर आपके लिए लागू होगा:

  1. कोई भी व्यापारी - स्वीकृति चैनल की परवाह किए बिना - प्रति वर्ष 6M वीज़ा लेनदेन पर प्रसंस्करण। कोई भी व्यापारी जो वीज़ा, अपने विवेकाधिकार पर निर्धारित करता है, उसे वीज़ा प्रणाली के जोखिम को कम करने के लिए स्तर 1 व्यापारी आवश्यकताओं को पूरा करना चाहिए।
  2. कोई भी व्यापारी - स्वीकृति चैनल की परवाह किए बिना - प्रति वर्ष 1M से 6M वीज़ा लेनदेन का प्रसंस्करण।
  3. कोई भी व्यापारी प्रति वर्ष 20,000 से 1M वीज़ा ई-कॉमर्स लेनदेन करता है।
  4. कोई भी व्यापारी प्रति वर्ष 20,000 से अधिक वीज़ा ई-कॉमर्स लेन-देन, और अन्य सभी व्यापारियों को स्वीकार करता है - स्वीकृति चैनल की परवाह किए बिना - प्रति वर्ष 1M वीज़ा लेनदेन तक प्रसंस्करण।

http://usa.visa.com/merchants/risk_management/cisp_merchants.html यह VISA से है, लेकिन इसी तरह PCI पर लागू होगा

प्रत्येक स्तर के साथ आपको अलग-अलग आवश्यकताओं को पूरा करना होगा। एक बार जब आप मूल्यांकन कर लेते हैं, तो मुझे यकीन है कि कोई व्यक्ति आपको सीई के साथ क्या कदम उठाने के बारे में अधिक विस्तृत जवाब देने में सक्षम होगा।

फोमन पर क्रिस्टोफ़
स्रोत
1

एंटरप्राइज एडिशन पेमेंट ब्रिज नामक एक एप्लिकेशन के साथ आता है जो वास्तव में अच्छी मात्रा में एन्क्रिप्शन से संबंधित है और इसे आपके एप्लिकेशन से अलग सर्वर पर चलाया जा सकता है। यह अधिकांश संदर्भों के लिए ओवर-किल हो सकता है, और एक OO संगठन में अलग-थलग और डिबग एप्लिकेशन कोड की इच्छा की आवश्यकता होती है जो Magento Core कोड के रूप में पालन करना उतना आसान नहीं है।

PCI अनुपालन में कई छोटी बारीकियाँ होती हैं जो वास्तव में CE को पूरी तरह से PCI अनुरूप नहीं बनाती हैं। सीई पर पीसीआई के अनुपालन का सबसे तेज़ और अक्सर सबसे अच्छा तरीका तीसरे पक्ष के टोकन भुगतान गेटवे सिस्टम का उपयोग करना है। कुछ एक्सटेंशन हैं जो पहले से ही प्राधिकृत हैं Authorize.net CIM, या साइबरस्पेस भुगतान प्रोफ़ाइल, और कुछ अन्य। इसका मतलब यह है कि जब इसे सही ढंग से लागू किया जाता है, तो आप सभी कभी भी ग्राहक के लिए प्रोफाइलआईडी स्टोर करते हैं और क्रेडिट कार्ड का डेटा भुगतान गेटवे पर संग्रहीत किया जाता है।

कहा जा रहा है, मुझे नहीं लगता कि आपका प्रश्न स्पष्ट रूप से उस जानकारी के बारे में बताता है जिसे आप उस लेनदेन के बारे में जानना चाहते हैं जिसे आप PCI अनुपालन को पूरा करने के लिए बढ़ा रहे हैं। अधिक जानकारी के बिना किसी भी विशिष्टता के साथ अपनी विशेष आवश्यकता की वास्तुकला को हल करने में मदद करना मुश्किल है।

mprototype
स्रोत
पुन :: sonassi आपका जवाब गलत है CE को PCI अनुपालन माना जाता था जब तक कि 2010 में PCI अनुपालन नियम नहीं बदलते और CE अब आवश्यकताओं को पूरा नहीं करते।
mprototype
ओपी स्पष्ट था कि वे किसी भी कार्ड धारक की जानकारी को संसाधित या संग्रहीत नहीं कर रहे हैं, वे भुगतानों को पकड़ने और संसाधित करने के लिए बाहरी सेवाओं पर निर्भर हैं। कोई भी आवेदन पीसीआई के अनुरूप हो सकता है, सीई शामिल है, बिना किसी कड़ी मेहनत के जब तक आप वास्तव में कार्ड धारक डेटा संग्रहीत नहीं कर रहे हैं। लेकिन PCI अनुपालन केवल आपके द्वारा उपयोग किए जा रहे सॉफ़्टवेयर नहीं है। कंपनी प्रथाओं और कार्यान्वयन के बारे में इसकी सभी।
बेन लेसानी - सोनासी
अच्छा वोट डाउन ... मैंने यह भी कहा कि CE आज्ञाकारी हो सकता है ... लेकिन बॉक्स से बाहर नहीं है, और हाँ बिज़ प्रक्रिया भी महत्वपूर्ण है, लेकिन मुझे लगता है कि आप एक प्रतिक्रिया में अच्छे मूल्य के लिए क्रेडिट नहीं देते हैं, भले ही मेरे दृष्टिकोण आपके साथ संघर्ष करता है और कुछ समस्याओं के समाधान पर चर्चा करने के लिए होता है, पीसीआई अनुपालन प्रयासों को किया जाना चाहिए जो आपकी प्रतिक्रिया नहीं हुई। मैंने पेमेंट ब्रिज का भी कोई उल्लेख नहीं देखा और न ही पेमेंट ब्रिज आपकी प्रतिक्रिया में पीसीआई अनुपालन की ओर अग्रसर है। और मैं अपने बयान के साथ खड़ा हूं ... यह दावा कि सीई की पीसीआई अनुपालन था और कभी नहीं बदला एक पतन है। आवश्यकताओं को बदल दिया
mprototype
1
ओपी ने कभी भी ईई में रुचि नहीं दिखाई। यह प्रश्न सीई के बारे में है। सीई पीए-डीएसएस प्रमाणित नहीं है, लेकिन यह पीसीआई अनुपालन के समान नहीं है। मूल रूप से, आप CE डेटा को CE के साथ PCI तरीके से स्टोर नहीं कर सकते हैं - लेकिन ओपी का इरादा कभी नहीं था।
बेन लेसानी - सोनासी
0

मुझे लगता है कि आम तौर पर दो तरीके हैं:

  1. आप इसे स्वयं नहीं करना चाहते हैं, क्योंकि आप एक छोटी सी दुकान हैं, तो आपको सीई के साथ रहना चाहिए और आपके लिए यह सोचने के लिए कुछ भुगतान प्रदाता का उपयोग करना चाहिए

  2. आप एक बड़ी कंपनी हैं और बहुत सारे लेनदेन की उम्मीद करते हैं और इसे स्वयं करना चाहते हैं। तब आपके पास ईई का उपयोग करने के लिए पर्याप्त धन होना चाहिए।

पुराने उत्तर:

आपको "PCIish" तरीके से सभी क्रेडिट कार्ड डेटा (@sonassi के लिए धन्यवाद) को एन्क्रिप्ट करना होगा, और बहुत कुछ। पीसीआई अनुपालन लागतों की जांच करने के लिए बहुत सारे पैसे खर्च होते हैं। आप ऐसा क्यों चाहते हैं? ईई :-) का उपयोग करें

सभी आवश्यक जानकारी आपको पीसीआई वेबसाइट पर मिल सकती है

और मुझे नहीं लगता कि यहां बहुत सारे डेवलपर हैं, जो मानक जानते हैं, न तो मैं।

PCI अनुपालन के साथ खेलने के लिए कुछ भी नहीं है। यदि आप ऐसा चाहते हैं, तो आपको बहुत पैसा खर्च करना होगा और आपको विशेषज्ञों की आवश्यकता होगी।

फेबियन ब्लेच्च्मिड्ट
स्रोत
आपको कार्डधारक के विवरण के अलावा कुछ भी एन्क्रिप्ट करने की आवश्यकता नहीं है ।
बेन लेसानी - सोनासी
मुझे नहीं लगता कि पीसीई अनुपालन को पूरा करने के प्रयास में कभी भी ईई की सिफारिश की जाती है - भले ही ओपी सीसी विवरण (जो वे नहीं हैं) की बचत कर रहे थे।
बेन लेसानी - सोनासी
0

प्लगइन्स हैं (उदाहरण के लिए सुरक्षा कंपनी फ़ोरजेनिक्स के पास एक है जो लॉगिंग, फ़ाइल परिवर्तन निगरानी और कुछ अन्य चीजें करता है) जो पीसीआई के कुछ नियंत्रणों को जल्दी और सरलता से लगाने में मदद कर सकता है। लेकिन यदि आप एक अनुपालन परिप्रेक्ष्य से सबसे आसान रास्ता लेना चाहते हैं, तो आपको अपने भुगतान गेटवे से होस्ट किए गए भुगतान पृष्ठ का उपयोग करने पर वास्तव में विचार करना चाहिए। यह आपको SAQ A-EP का उपयोग करने की अनुमति देगा (जब तक आप साधारण होस्ट किए गए भुगतान पृष्ठ से कुछ अलग करने की कोशिश नहीं कर रहे हैं)।

ZWE
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.