L'API Authorize.net (AIM) richiede la conformità PCI o qualsiasi certificazione aggiuntiva?
https://stackoverflow.com/questions/5845349
-
27-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Mi chiedevo se qualcuno qui abbia usato l'autorize.net "Metodo di integrazione avanzata"API.
Ho setacciato le FAQ sul loro sito, ma non riesco a trovare una risposta semplice o raggiungerle a quest'ora.
So che l'API richiede SSL (ovviamente), ma il loro accordo TOS richiede la conformità PCI o qualsiasi tipo di certificazione, a condizione che tu non stia archiviando numeri di carta di credito? Inoltre, se qualcuno lo sapesse, c'è qualcosa nei loro TOS contro l'utilizzo di questo per un'app che memorizza le credenziali commerciali (con il permesso del commerciante esplicito ovviamente)?
Per chiarire, in quest'ultima parte, sto parlando di un'applicazione SAS che memorizza ID commerciante e tasti di transazione per più commercianti (stesso server).
Soluzione
Sì, richiede la conformità PCI. AIM richiede di raccogliere i dati utente sul proprio server Web prima di darlo per autorizzare.net per l'elaborazione. Ciò significa che stai gestendo e trasmettendo le informazioni sulla carta di credito e quindi devi essere conforme a PCI.
Questo non è un requisito di Authorize.net, è un requisito del settore della carta di pagamento. Authorize.net non si assume la responsabilità di come un commerciante gestisce i loro pagamenti in così come non violano i termini di servizio di Authorize.net. Quindi, se non sei conforme a PCI Authorize.net non importa. Ma gli emittenti della carta fanno e solleveranno problemi con il commerciante se il loro sito non è conforme a PCI e utilizza l'API AIM.
Altri suggerimenti
Se usi AIM, sei in portata di PCI. Molti sviluppatori pensano desiderosamente di non essere in portata se trasmettono semplicemente i dati della scheda per autorizzare.net utilizzando l'API AIM.
Tutti questi sviluppatori hanno torto secondo le attuali regole PCI. Poiché le informazioni sulla scheda stanno transitando il tuo server, un cattivo potrebbe entrare nel tuo server e rubare le informazioni sulla scheda. Non importa quanto sia improbabile, ora sei nell'ambito di PCI.
Per utilizzare Authorize.net e rimanere fuori dall'ambito PCI, utilizzare i metodi di integrazione SIM o il loro nuovo Metodo post post. Entrambi mantengono il tuo server fuori dall'ambito.
Di più su questo da Auth.net
L'intera iniziativa di conformità PCI è un disastro completo e diventerà inapplicabile perché non ci sono risposte definitive. I pochi esistenti sono oscuri e ambigui.
La guida dice chiaramente che se memorizzi o trasmetti dati di pagamento sensibili, allora sei in portata. È possibile ottenere l'ambito utilizzando un servizio di tokenizzazione di pagamento per l'archiviazione e la pubblicazione diretta su un gateway di pagamento per la trasmissione. Entrambe queste tecniche ti manterranno fuori portata.
La pubblicazione diretta non ha senso per me. Non vedo come un passaggio post-back server si qualifichi come trasmissione, ma un post diretto a un gateway di pagamento no. Stai inviando dati sensibili in entrambi i casi. Se i dati sensibili vengono ricevuti tramite un post-back sicuro e vengono immediatamente scartati dopo averlo inviato al gateway, allora qual è la differenza?
Morirai ridendo quando scopri che un browser web non deve essere conforme a PCI. Può anche archiviare i dati di pagamento a livello locale e trasmetterli attraverso un canale non garantito! Si potrebbe sostenere che il potenziale di furto è più piccolo perché non è un server pubblico ed è gestito dall'utente della carta di credito. Indipendentemente da ciò, il piccolo tempo in cui i dati di pagamento si trovano su un server da elaborare durante un post-back dovrebbero avere la stessa considerazione.
Inoltre, i browser possono correre ovunque, tra cui chioschi e telefoni pubblici.
Per quanto riguarda la prima parte della tua domanda. No, non richiede la conformità PCI. Uno dei principali vantaggi dell'utilizzo di Authorize.net è quello di scaricare la conformità PCI. Detto questo, utilizzando Authorize.net, ovviamente, non rimuove automaticamente alcuna responsabilità PCI da te.
