Magento CE PCI合规性

22

要实现Magento CE的PCI合规性，需要采取哪些步骤？

例如，在商店中直接使用贝宝（Paypal）网站付款专业人士或圣人付款将有助于实现PCI合规性？

payment-gateway

— blakcaps
source

您必须以“ PCIish”方式加密所有数据。要检查PCI合规性，afaik会花费很多钱。你为什么要这个？使用EE ：-)

— Fabian Blechschmidt

如果您想避免潜在的麻烦，请改用托管付款方式。类似于SagePay服务器或PayPal标准。

— Ben Lessani-Sonassi

15

CE没有理由不符合PCI标准

它一直被认为是符合PCI标准的- 在EE出现之前，EE就需要另一个USP。只要您不存储抄送详细信息-无需加密其他数据（客户名称/地址等）。

但是请记住，PCI合规性不仅是应用程序方面的要求，而且还是用于运行公司和处理敏感信息的一组规则和定义。

SAQ

您所遵循的遵从级别将决定您需要采取哪些措施来确保PCI遵从性。如果SAQ（自我评估问卷）适合您的业务规模，则在使用外部付款方式（例如所述付款方式）时，您可以不带CE认证。

否则，高于SAQ级别-无论如何您都需要QSA-并且在专业协助下您正在赚大钱。您在此处询问的事实可能表明您不在此范围内。

您可能会属于SAQ-D

您如何接受付款卡？

A.不存在卡（电子商务或邮件/电话订购）的商人，所有持卡人数据功能已外包。这将永远不适用于面对面的商人。

B.没有电子持卡人数据存储的仅印记商家，或没有电子持卡人数据存储的独立的拨出终端商人。

C-VT。商家仅使用基于Web的虚拟终端，不使用电子持卡人数据存储。

C.商户具有连接到Internet的支付应用系统，没有电子持卡人数据存储。

D.上面关于SAQ类型A到C的描述中未包括的所有其他商人，以及由付款品牌定义为有资格完成SAQ的所有服务提供商。

参见https://www.pcisecuritystandards.org/smb/what_to_secure.html

商家/交易级别

商户每年（所有渠道）处理超过600万次Visa交易，或被任何Visa地区确定为1级的全球商户2

商家每年处理100万到600万签证交易（所有渠道）

商户每年处理20,000至100万次Visa电子商务交易

商户每年处理少于20,000个Visa电子商务交易，所有其他商户每年处理多达100万个Visa交易

见http://usa.visa.com/merchants/risk_management/cisp_merchants.html

重要的是区分商家级别和SAQ级别。他们是分开的。您可以作为SAQ-D的2级商家。实际上，在大多数情况下，处于SAQ-D级别时，您可以自我评估到2级-因为您根本不处理卡数据，因此要求更加宽松。

仅仅使用EE并不能使您符合PCI，就象使用PCI兼容的主机一样，也不能使您符合PCI。整个业务（应用程序，业务/人员，托管）必须全部符合PCI。

— 本·莱萨尼-索纳西
source

2

您需要遵循的PCI级别取决于您可能要进行的交易数量。第一步，您应该确定适用于您的级别：

不论接受渠道如何，任何商户每年都要处理超过600万笔Visa交易。Visa自行决定确定的任何商户应符合1级商户要求，以最大程度地降低Visa系统的风险。
任何商人-不论接受渠道如何-每年都要处理100万至600万次Visa交易。
每年处理20,000至1M Visa Visa电子商务交易的任何商户。
每年处理少于20,000笔Visa电子商务交易的任何商户，而所有其他商家-不管接受渠道如何-每年处理多达100万笔Visa交易。

http://usa.visa.com/merchants/risk_management/cisp_merchants.html 来自VISA，但同样适用于PCI

对于每个级别，您将满足不同的要求。一旦您完成评估，我相信有人会为您提供有关使用CE采取哪些步骤的更详细的答案。

— Fooman的Kristof
source

1

企业版随附一个名为Payment Bridge的应用程序，该应用程序处理的加密量非常好，并且可以在与您的应用程序不同的单独服务器上运行。在大多数情况下，这可能是过大的杀伤力，并且要求在OO组织中隔离和调试应用程序代码的意愿并不像Magento Core代码那样容易遵循。

PCI合规性有许多细微差别，实际上确实使CE不完全符合PCI合规性。在CE上实现PCI兼容的最快也是最好的方法是使用第三方令牌化支付网关系统。有一些扩展已经集成了Authorize.net CIM或Cybersource Payment Profiles，还有一些其他扩展。这意味着正确实施后，您存储的所有内容都是客户的profileID，而信用卡数据存储在付款网关上。

话虽如此，我认为您的问题并没有明确说明您希望存储的有关您希望增强以符合PCI法规要求的交易的信息。没有更多信息，很难以任何特异性帮助解决您的特定需求的体系结构。

— 原型
source

回复：sonassi您的回答是错误的，直到2010年PCI合规性规则更改且CE不再符合要求之前，CE才被认为是PCI合规的。

— mprototype

OP非常清楚地表明，他们不处理或存储任何持卡人信息，而是依靠外部服务来捕获和处理付款。只要您实际上没有存储持卡人数据，任何应用程序都可以符合PCI（包括CE）标准，而无需进行任何艰苦的工作。但是PCI合规性不仅仅是您正在使用的软件。一切都与公司的实践和实施有关。

— Ben Lessani-Sonassi

好的投票否决...我也说过CE可以合规...但是不是开箱即用，是的biz流程也很重要，但是我想您不会因为良好的价值而给予好评，即使我的如果您的观点与您的观点冲突，并且碰巧会讨论一些问题的解决方案，那么您应该做出PCI遵从性努力，而您的回应却没有。我也没有提及Payment Bridge，也没有提及Payment Bridge在回应PCI合规方面取得的成就。我支持我的声明……宣称CE符合PCI且从未改变的说法是谬论。需求已更改

— mprototype，2013年

1

OP从未对EE表现出兴趣。这个问题是关于CE的。CE未通过PA-DSS认证，但与PCI认证不同。在本机上，您无法通过CE的PCI方式存储CC数据-但OP从未打算这样做。

— Ben Lessani-Sonassi

0

我认为通常有两种方式：

您不想自己做，因为您是一家小商店，那么您应该留在CE上，并使用一些付款服务提供商为您考虑
您是一家大公司，并且期望进行很多交易，并且想要自己做。然后，您应该有足够的钱来使用EE。

旧答案：

您必须以“ PCIish”方式加密所有信用卡数据（感谢@sonassi），以及更多。要检查PCI合规性，afaik会花费很多钱。你为什么要这个？使用EE :-)

您需要的所有信息都可以在PCI网站上找到

而且我认为这里没有多少开发人员知道标准，我也不知道。

PCI合规性无济于事。如果要这样做，则必须花费大量金钱，并且需要专家。

— 费边（Fabian Blechschmidt）
source

除了“ 持卡人详细信息”外，您不需要加密任何其他内容。

— Ben Lessani-Sonassi

我认为，即使OP保留了CC详细信息（并非如此），也没有必要为了达到PCI合规性而推荐EE建议。

— Ben Lessani-Sonassi

0

有一些插件（例如安全公司Foregenix拥有一个可以进行日志记录，文件更改监视等功能的插件），可以帮助您快速，简单地将某些PCI控件放置到位。但是，如果您希望从合规性角度考虑采用最简单的方法，则应该考虑从付款网关使用托管的付款页面。这将允许您使用SAQ A-EP（只要您不尝试做与普通托管付款页面不同的操作）。

— ZWE
source