Прийшов час осідлати справжнього Буцефала🏇🏻Приборкай норовливого коня разом з Newxel🏇🏻Умови на сайті
×Закрыть

PCI Compliance Level 4

Здравствуйте, уважаемые коллеги и it-предприниматели!

Появился вопрос по PCI Compliance, который требуется для возможности интеграции в своих SaaS/приложениях полноценные API-интеграции платежных шлюзов.

Сейчас используем такие — 2Checkout для международных клиентов и Privat24 — для Украины/СНГ.

По обороту нам достаточно минимальный Level 4 с SAQ-D, но дополнительно требуют квартальный скан-аудит (Quarterly ASV Scan).

Собственно мои вопросы:

1) Где можно посмотреть рабочий пример заполненного SAQ-D для SaaS/WebApp?

2) Где делать сканирование (Approved scanning vendor)? Вроде нашел самый дешевый вариант за 59 USD за 1 квартальный скан. Но фиг его знает, у таких провайдеров разрыв цен — колоссальный, а большинство вообще свои цены не публикуют.

И обязательно ли их делать постоянно или достаточно будет «по запросу» саппорта платежной системы?

Благодарю за внимание и советы!

***
Update

Изучив информацию подробнее, сделал определенные выводы, которыми делюсь с вами, т.к. это может оказаться полезно для кого-то еще.

1. Не зависимо от уровня оборота, PCI DSS базируется на 12 принципах:

По сути, часть основных технических пунктов — тут даже без всякого приема и хранения данных карт — уже должны быть выполнены по-умолчанию вашим веб-сервером при установке или даже shared-хостинг-провайдером (ибо весьма странный провайдер, если этого нет).

Давно не имел дела с shared hosting-ами, но если предположить что у Вас самый обычный VPS/VDS на ISPManager (или его аналоге), развернутый по базовым рекомендациям производителя, то:

--- Сервер ---

1.1. Firewall там существует и работает по-умолчанию.

1.2. «Default passwords» были заменены сразу после его установки.

1.3. Соответственно «Defenses on any PCI information in storage» — вытекает из пп.1.3. и последующих.

1.8. — «Unique IDs» естественно, что для авторизации используются учетные записи пользователей.

1.5. Антивирус, если вдруг не стоит/активирован по-умолчанию, то устанавливается/активируется из дополнений контрольной панели в два клика. Почему может не быть? Потому что он может быть не бесплатным, так что на это потребуется небольшая доплата.

1.10. — 1.11 «Testing of all security mechanisms» и «Network and data access monitoring and tracking» — основные пункты уже пересекаются с предыдущими — т.к. постоянный (по крайне мере — базовый) мониторинг и так осуществляется Антивирусом и Сетевым экраном сервера, а часто — и доп. спец. софтом. Если нет — почему бы не начать само-мониторить собственную безопасность?

--- Сайт ---

Если у вас e-commerce сайт, то почти наверняка к 2020 году вы (или Ваши SEO-сотрудники/агентства) установили SSL-сертификат, как того настоятельно рекомендует ваш основной партнер и источник трафика — Google, а соответственно:

1.4. Encryption — уже в действии!

--- Собственно, Вы ---

1.7. «Need-to-know» Вполне естественно, если вы управляете своим бизнесом, то управляете также и доступом к нему — соответственно пароли выдаются только вашим сотрудникам.

1.8. «Security policy» — хороший и нужный внутренний документ, почему бы его не составить и не ознакомить всех сотрудников?

2. «Сертификат PCI DSS» — это псевдотермин, который вытекает исключительно из маркетинговых соображений. Не существует никаких форм бумажного или электронного подтверждающего документа. У нас выдают распечатанные (настенные) грамоты, на западе — кнопку для сайта, которые можно использовать в вашем траст-менеджменте на сайте. Но это — вовсе не документ для предъявления вашему экваер-партнеру.

На деле, до Level 2 «сертификат» состоит из 2-х частей:

2.1. SAQ-A или SAQ-D самоопросник,

2.2. Отчета о сканировании внешним аудитором.

Лично я не против внешнего сканирования, но не понимаю почему этим должна заниматься третья сторона, а не лично ваш партнер (банк/платежная система).

Интересно, что последний является конфеденциальным документом, который вам, вероятно, придется предъявлять вашему мерчант-партнеру, но проверить или подтвердить «валидность» которого, по-сути, не возможно.

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Працюю в Very Good Security. Наш профіль PCI. Ми робимо аудити. При підключці до нас ми будемо замість тебе робити аудит, а ти будеш просто рости) Робимо PCI L1 тому 4 рівень буде для тебе дуже легким. Якщо цікаво можемо переговорити про деталі.

Привіт! Цікавить. Але вас немає у списку Approved Scanning Vendors, то ви посередник? Через кого ви робите сканування? Який прайс для нашого рівня, це ж не є таємницею?!

Делать каждый квартал, историю хранить три года

Ок, спасибо! Если Вы с этим имели дело, какого вендора выбрали?

Я имел дело с level 1. Для сканов пользовался ssl.comodo.com/pci-scanning

Спасибо за инфо. Извините, что пристал:), не подскажите еще одно: что собой представляет этот отчет сканирования? Существует какой-то реестр, куда информация о сканировании вносится поставщиком для подтверждения подлинности или это просто файл, который вам высылают для самостоятельного хранения?

Он для самоуспокоения, но я бы хранил.

Подписаться на комментарии