PCI, Magento a ukladanie informácií o kreditnej karte

Otázka, či môžete ukladať informácie o kreditnej karte v rámci Magento, sa tu na Hostinger často objavuje. Odpoveď na túto otázku nie je, žiaľ, veľmi jasná pri hľadaní odpovede inde, vrátane webovej stránky Magento. Aby sme objasnili odpoveď na túto otázku, je potrebné pochopiť niekoľko vecí, vrátane rozdielu medzi zhodou PCI-DSS a PA-DSS.

PCI-DSS je súlad celého vášho online prostredia, ktoré zahŕňa vaše systémy, postupy, softvér atď. Toto je štandard, ktorý sa vyžaduje, aby ste mohli spracovať platby na mieste. Magento je v súlade s PCI-DSS, keď sú dodržané pravidlá PCI-DSS, ktoré zahŕňajú:

– Vybudujte a udržujte zabezpečenú sieť
– Ochrana údajov držiteľa karty
– Udržujte program riadenia zraniteľnosti
– Implementovať prísne opatrenia na kontrolu prístupu
– Pravidelne monitorujte a testujte siete
– Udržiavať politiku informačnej bezpečnosti

PA-DSS je štandard pre *softvérové ​​aplikácie* zaoberajúce sa spracovaním platieb. PA-DSS bol navrhnutý tak, aby poskytoval definitívny dátový štandard pre dodávateľov softvéru, ktorí vyvíjajú platobné aplikácie, ktoré dokážu bezpečne ukladať údaje držiteľov kariet a zabrániť im v ukladaní zakázaných údajov držiteľov kariet (úplné mag. pruhy, informácie CVV2, čísla PIN atď.).

Softvérová aplikácia nikdy nemôže byť sama osebe „kompatibilná s PCI“. Softvérová aplikácia môže byť kompatibilná s PCI, ak je prostredie kompatibilné aj s PCI, čo by zahŕňalo spôsob toku aplikácie. Aplikácia môže byť kompatibilná s PA-DSS, ale prostredie môže alebo nemusí byť kompatibilné s PCI.

Čítať:  Najlepšie platformy na správu objednávok Magento: Jediný sprievodca, ktorý potrebujete

Magento samo o sebe NIE JE PA-DSS certifikovaná aplikácia, ak vo svojej databáze ukladá informácie o držiteľovi karty. Z tohto dôvodu nemôžete ukladať informácie o kreditnej karte v Magento a byť kompatibilný s PCI. Požiadavky PA-DSS sú prísne pre ukladanie údajov držiteľov kariet, a preto Magento vytvorilo platobný mostík, ktorý je aplikáciou kompatibilnou s PA-DSS.

Použitím doplnku tretej strany alebo obchodníka, ktorého softvér a systém JE kompatibilný s PA-DSS, ktorý dokáže ukladať údaje držiteľov kariet na externých systémoch (vrátane Magento Payment Bridge), odstraňuje požiadavku PA-DSS zo samotného Magenta a umožňuje vám byť PCI-DSS. vyhovujúci. To samozrejme platí vtedy a len vtedy, ak sú všetky systémy a siete, ktorými prechádzajú dáta držiteľa karty, chránené. Inými slovami, povedzme, že váš obchod Magento neuchováva údaje držiteľov kariet, ale namiesto toho používa tretiu stranu kompatibilnú s PA-DSS. Povedzme teda, že spojenie medzi vaším obchodom Magento a treťou stranou nie je šifrované alebo máte povolené ladenie platobnej brány. V takýchto prípadoch NEBUDETE spĺňať požiadavky PCI.

Pre zopakovanie, Magento má zabudovanú schopnosť ukladať údaje o držiteľoch kariet vo svojej vlastnej databáze, ale nikdy nebudete v súlade s PA-DSS, čo vám bráni v súlade s PCI-DSS. Aplikácia Magento (na akejkoľvek úrovni: CE, PE, EE) nemá certifikáciu PA-DSS. Pamätajte, že PA-DSS sa vzťahuje len na softvér a nie na infraštruktúru. Ukladanie údajov držiteľa karty v aplikácii, ktorá nie je kompatibilná s PA-DSS, ako je Magento, spôsobí neplatnosť súladu s PCI.

Čítať:  Dostupnosť Magento 2 a PHP 7

Ak chcete uchovávať údaje o kreditnej karte na ľubovoľný časový úsek, aj keď len na niekoľko minút, musíte použiť buď Payment Bridge, alebo doplnok/službu tretej strany, ktorá je kompatibilná s PA-DSS a uchováva informácie o držiteľovi karty na svojich serveroch. neskoršie vyzdvihnutie. Okrem toho musí byť zabezpečený celý tok údajov držiteľa karty. To znamená, že všetky ladenia musia byť vypnuté a pripojenia nesúce informácie o držiteľovi karty musia používať určitú formu SSL/TLS.

Nové Publikácie:

ODPORÚČANIE