PCI Compliance Level 4
Здравствуйте, уважаемые коллеги и it-предприниматели!
Появился вопрос по PCI Compliance, который требуется для возможности интеграции в своих SaaS/приложениях полноценные API-интеграции платежных шлюзов.
Сейчас используем такие — 2Checkout для международных клиентов и Privat24 — для Украины/СНГ.
По обороту нам достаточно минимальный Level 4 с SAQ-D, но дополнительно требуют квартальный скан-аудит (Quarterly ASV Scan).
Собственно мои вопросы:
1) Где можно посмотреть рабочий пример заполненного SAQ-D для SaaS/WebApp?
2) Где делать сканирование (Approved scanning vendor)? Вроде нашел самый дешевый вариант за 59 USD за 1 квартальный скан. Но фиг его знает, у таких провайдеров разрыв цен — колоссальный, а большинство вообще свои цены не публикуют.
И обязательно ли их делать постоянно или достаточно будет «по запросу» саппорта платежной системы?
Благодарю за внимание и советы!
***
Update
Изучив информацию подробнее, сделал определенные выводы, которыми делюсь с вами, т.к. это может оказаться полезно для кого-то еще.
1. Не зависимо от уровня оборота, PCI DSS базируется на 12 принципах:
По сути, часть основных технических пунктов — тут даже без всякого приема и хранения данных карт — уже должны быть выполнены по-умолчанию вашим веб-сервером при установке или даже shared-хостинг-провайдером (ибо весьма странный провайдер, если этого нет).
Давно не имел дела с shared hosting-ами, но если предположить что у Вас самый обычный VPS/VDS на ISPManager (или его аналоге), развернутый по базовым рекомендациям производителя, то:
--- Сервер ---
1.1. Firewall там существует и работает по-умолчанию.
1.2. «Default passwords» были заменены сразу после его установки.
1.3. Соответственно «Defenses on any PCI information in storage» — вытекает из пп.1.3. и последующих.
1.8. — «Unique IDs» естественно, что для авторизации используются учетные записи пользователей.
1.5. Антивирус, если вдруг не стоит/активирован по-умолчанию, то устанавливается/активируется из дополнений контрольной панели в два клика. Почему может не быть? Потому что он может быть не бесплатным, так что на это потребуется небольшая доплата.
1.10. — 1.11 «Testing of all security mechanisms» и «Network and data access monitoring and tracking» — основные пункты уже пересекаются с предыдущими — т.к. постоянный (по крайне мере — базовый) мониторинг и так осуществляется Антивирусом и Сетевым экраном сервера, а часто — и доп. спец. софтом. Если нет — почему бы не начать само-мониторить собственную безопасность?
--- Сайт ---
Если у вас e-commerce сайт, то почти наверняка к 2020 году вы (или Ваши SEO-сотрудники/агентства) установили SSL-сертификат, как того настоятельно рекомендует ваш основной партнер и источник трафика — Google, а соответственно:
1.4. Encryption — уже в действии!
--- Собственно, Вы ---
1.7. «Need-to-know» Вполне естественно, если вы управляете своим бизнесом, то управляете также и доступом к нему — соответственно пароли выдаются только вашим сотрудникам.
1.8. «Security policy» — хороший и нужный внутренний документ, почему бы его не составить и не ознакомить всех сотрудников?
2. «Сертификат PCI DSS» — это псевдотермин, который вытекает исключительно из маркетинговых соображений. Не существует никаких форм бумажного или электронного подтверждающего документа. У нас выдают распечатанные (настенные) грамоты, на западе — кнопку для сайта, которые можно использовать в вашем траст-менеджменте на сайте. Но это — вовсе не документ для предъявления вашему экваер-партнеру.
На деле, до Level 2 «сертификат» состоит из
2.1. SAQ-A или SAQ-D самоопросник,
2.2. Отчета о сканировании внешним аудитором.
Лично я не против внешнего сканирования, но не понимаю почему этим должна заниматься третья сторона, а не лично ваш партнер (банк/платежная система).
Интересно, что последний является конфеденциальным документом, который вам, вероятно, придется предъявлять вашему мерчант-партнеру, но проверить или подтвердить «валидность» которого, по-сути, не возможно.
7 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарів