1. Inicio
  2. Pregunta y respuesta
  3. ¿Se requiere el cumplimiento de PCI con Payflow Link?

¿Se requiere el cumplimiento de PCI con Payflow Link?

2010-07-26 13 views
5

He intentado llamar a PayPal ellos mismos, y el representante en el teléfono ni siquiera sabía que Payflow Link podría funcionar de esta manera, por lo que no confío en su consejo. Toda mi búsqueda ha encontrado respuestas mixtas.¿Se requiere el cumplimiento de PCI con Payflow Link?

Estoy construyendo un sitio de comercio electrónico usando Payflow Link, donde el procesamiento CC se maneja en páginas alojadas en Paypal. Sin embargo, considero implementar el método de integración avanzada, mediante el cual los clientes ingresan toda la información de CC en un formulario alojado en mi servidor, pero el formulario se transfiere por POST sobre SSL directamente a los servidores de Paypal. Usando este método, puedo mantener la marca de mi sitio a excepción de la página requerida de Paypal.

La información de CC, utilizando este método, nunca debe tocar mis servidores. ¿Se requiere que cumplan con PCI? Desde un punto de vista técnico, no veo por qué debería hacerlo, pero desde un punto de vista legal, me pierdo en la jerga de los documentos PCI-DSS. El sitio hace aproximadamente 1000 transacciones al año.

Fuente

2010-07-26 Dave W.

Respuesta

5

Estoy explorando el mismo problema. Hablando con nuestro proveedor de cumplimiento PCI, parece que MikeH es incorrecto. Debido a que estamos alojando el formulario en nuestro sitio web, el servidor debe ser compatible con PCI. Eso es porque el formulario podría ser pirateado si el servidor no es seguro.

veo dos opciones:

  1. mantener el formulario en nuestro sitio. Haga que el servidor sea seguro (nuestro servidor web no pasa actualmente el escaneo PCI, están trabajando en ello). Complete el tipo de validación de SAQ mucho más larga y detallada (cuestionario D).

  2. Utilice el formulario de captura de la tarjeta de crédito de Payflow Link. No tendrá que preocuparse por el servidor, puede usar el tipo de validación de SAQ mucho más corto (cuestionario A). Pero, perdemos la marca y podemos perder ventas porque las páginas de Payflow Link se ven muy diferentes.

El SAQ D es feo :-(

Fuente

2010-08-03 21:48:26 user410168

0

Si acepta pagos con tarjeta de crédito a través de su sitio web, debe cumplir con PCI. La distancia que debe recorrer variará según su implementación. Si aloja el formulario que usan los usuarios para realizar pagos, debe usar un certificado SSL para que la página esté encriptada (aunque solo sea para asegurarse de que aparezca el ícono del candado en el navegador del usuario. Sin él, no estará haciendo 1000 transacciones por año más).

Fuente

2010-07-26 18:33:54

1

Con el modelo que está proponiendo, de hecho tiene que ser compatible con PCI, pero a un nivel mucho menos restrictivo del que tendría si los datos tocaran su servidor.

Para obtener más información, vaya a https://www.pcisecuritystandards.org/saq/instructions_dss.shtml y haga clic en el enlace para SAQ Validation Type 1 (Cuestionario A). Esto le dirá exactamente qué partes de las PCI DSS debe implementar como comerciante con todas las funciones del titular de la tarjeta subcontratadas.

Espero que esto ayude!

Fuente

2010-07-28 19:20:14 MikeH

Cuestiones relacionadas

 Cuestiones relacionadas