Как вы уже догадались, нужно обрабатывать банковские карты на сайте для оплаты услуг и товаров в DST Store.
А вот как это делать, не покидая сайт при оформлении заказа, мало кто знает, а еще меньше разбирается в этом на профессиональном уровне, и одним из них являюсь я )) Так как организовать, дяденьки, прием платежей для электронной коммерции?
Как вы уже догадались, нужно обрабатывать банковские карты на сайте для оплаты услуг и товаров в DST Store.
А вот как это делать, не покидая сайт при оформлении заказа, мало кто знает, а еще меньше разбирается в этом на профессиональном уровне, и одним из них являюсь я )) Так как организовать, дяденьки, прием платежей для электронной коммерции?
Виталий Литвинов
Вы можете организовать прием платежей и уже после подать заявку ну сертификацию (работаю с одной из контор которая принимает платежи, но PCI DSS пока в процессе прохождения), в компанию, которая осуществляет аудит и выдает «бумажку» что вы соответствует требованиям. например, Digital Security, наиболее известная в России компания. Заключаете договор, вам закрепляют аудитора, он приходит и говорит — вот список, будут вопросы — задавайте. Дальше вы спрашиваете его, можно ли сделать так и эдак, а он говорит можно или нет и объясняет, почему. Дальше, когда вы говорите, что вы готовы к проверке, он проводит предварительный аудит, пытаясь взломать систему, как с внешнего, так и с внутреннего периметров. После прохождения предварительного, проходите настоящий аудит. Ну и каждый год подтверждаете)))
p.s. а вообще поищите в интернетах списки требований. однажды искал требования для постгреса, и нашел за 5 минут гугления.
Быстро и дешево pci dss не получают в принципе.
Это довольно сложно и затратно, особенно какая ни будь оплата в 10 000 баксов. Принимайте через чужой шлюз карточный у которого есть уже сертификация
Как часто необходимо подтверждать соответствие требованиям PCI DSS? И также сразу вопрос — какие требования предъявляются к организации для получения PCI DSS сертификата?
Как часто необходимо подтверждать соответствие требованиям PCI DSS? И также сразу вопрос — какие требования предъявляются к организации для получения PCI DSS сертификата?
Станислав Панасенко
В соответствие требованиям PCI DSS необходимо подтверждать ежегодно.
А по поводу какие требования предъявляют к организации для получения сертификата PCI DSS:
Защита сети. Необходимо использовать брандмауэр, настроить защиту беспроводной сети, запретить использование слабых протоколов шифрования, регулярно обновлять ПО брандмауэров.
Защита данных держателей карты. Данные нужно хранить только в зашифрованном виде, защищать передачу данных по сети, удалять излишние данные, защищать ключи шифрования.
Управление учётными записями и доступом. Необходимо создавать и использовать уникальные идентификаторы для пользователей, настраивать права доступа к системам обработки платежей, ограничивать доступ к информации о держателях карты только необходимым сотрудникам, регулярно менять пароли и использовать сильные пароли.
Защита от вредоносных программ. Нужно устанавливать и обновлять антивирусное ПО на всех системах, защищать все системы обработки платежей от вредоносных программ, регулярно обновлять ПО на всех системах.
Защита физических ресурсов. Необходимо ограничить физический доступ к системам обработки платежей, установить систему видеонаблюдения и контроля доступа.
Мониторинг и тестирование сетей. Нужно отслеживать доступ к данным владельцев карточек и вести журналы безопасности, регулярно тестировать системы и процессы безопасности.
Поддержание политики безопасности. Необходимо установить и поддерживать политику безопасности данных, обучать сотрудников важности безопасности данных.
Требования к организации для получения сертификата PCI DSS могут варьироваться в зависимости от категории компании и уровня сложности её системы обработки платежей.
