web-dev-qa-db-ja.com

Paypal Express Checkoutを使用する場合、PCI DSSコンプライアンスが必要ですか?

私のウェブサイトでPaypal Express Checkoutを使用している場合、PCI DSSに準拠している必要がありますか?

Paypalは、「ウェブペイメントスタンダード、オンライン請求、エクスプレスチェックアウト、ウェブペイメントプロがホストされているため、お客様に代わってペイメントカード情報を処理するため、PCIコンプライアンスの負担が大幅に軽減されます」と述べています。 何?「負担を大幅に軽減」?どういう意味ですか?必要ですか、必要ありませんか?その場合、どのバージョンが必要ですか? SAQ A? SAQ A-EP?

助けてください、私は非常に混乱しており、私がこの作業を準拠する必要があるかどうかわかりません。

4
Samadi

IANAQSA ...

ウェブサイトでPaypal Express Checkoutを使用している場合、PCI DSSに準拠している必要がありますか?

はい。顧客がWebサイトにアクセスし、カートにアイテムを入れてから、「このアイテムの代金を支払いたい」をクリックして、他のユーザーがホストする支払いページにリダイレクトされた場合somehow PCIコンプライアンスの義務。

ウェブペイメントスタンダード、オンライン請求、エクスプレスチェックアウト、ウェブペイメントプロがホストされることで、Paypalはお客様に代わってペイメントカード情報を処理するため、PCIコンプライアンスの負担を大幅に軽減します。

「負担を大幅に軽減する」とは、サービスを使用していなかった場合よりもSAQの負担が軽減されることを意味します。そこに記載されているさまざまな製品についてはよくわかりませんが、たとえば、トークン化はスコープをSAQ-DからSAQ-Cに減らすのに役立ちます。トークン化が使用されており、サーバーを介して支払いデータを送信するためにWebリダイレクトが使用されている場合、使用されるリダイレクトのタイプに応じて、SAQ-A EPまたはSAQ-Aにドロップダウンできます。

エクスプレスチェックアウトの説明を見ると、SAQ-AまたはSAQ-A EPを見ていることを意味します。

助けてください、私は非常に混乱していて、私がその仕事を準拠させる必要があるかどうかわかりません。

準拠する必要があります。 SAQ-Aの場合、それは非常に簡単です。 SAQ-A EPの場合は、もう少し複雑です。 SAQ C +に上がれば、今やすべきことがあります。

どのレベルの準拠が必要かを確認するには、プロセッサー(この場合はPaypal)を使用します。 PCIの義務について理解したいことを営業担当者に伝え、どのSAQに該当するのか、それを提出するプロセスは何かについてコンプライアンス部門の担当者と話せるかどうか尋ねます。

4
gowenfawr

https://www.Paypal.com/au/webapps/mpp/pci-compliance から:

ウェブペイメントスタンダード、エクスプレスチェックアウト、請求などの最も人気のある製品は、すでにPCIに準拠しています。また、お客様のカード情報を処理するため、PCIコンプライアンスを維持するための時間、コスト、および頭痛の種を忘れることができます。

したがって、Paypalの言い回しでは、カード会員データを処理していない場合はanythingを実行する必要はありません(少なくともPAN-主口座番号を含める必要があります- -カードの場合)。

最初の例では、違反に対する罰金は支払いプロバイダーと大規模な商人に課されます。そのため、Paypalが巨額の罰金を課せられた場合、彼らはすべての商人がサービスを利用することを確実にしていました。 Paypalがシステムへの入力も準拠していることを確認する責任があるため、自己評価アンケート(SAQ)を出力します。

最も単純なSAQ-A自己評価でさえ、彼らが確実に完了するには、ほとんどの唯一のトレーダーを超えてしまうでしょう。

この図から( https://www.pcicomplianceguide.org/wp-content/uploads/2016/01/SAQ-3-1-Ecommerce-Options-Explained-Examples-ControlScan.pdf )、カード会員データを収集するかどうかに関係なく、製品ページがある場合でも、SAQ-A-EPを使用する必要があることを意味しているようです。ただし、SAQ-A-EPは、マーチャントサイトがcssまたはjavascriptを同時に提供して、マーチャントサイトとプロバイダーサイト間の表示の一貫性を維持する状況をカバーしているため、図はそれを示しているだけで、明確ではありません。

一般に、PCIのドキュメントは、カード会員データを主要な基準として継続的に参照しているため、やや曖昧で行き過ぎですが、PANが含まれているか含まれていない。情報を提供することは、個人の詳細とシステムの詳細な構成が、信頼できると期待される独自のシステムとプロセスを持つ1つ以上のサードパーティに提供されることを意味します。

PCIのドキュメントは状況even if you don't store cardholder dataを参照していますが、システムがanyカード会員データを処理しない状況を個別に明示的にカバーしないでください。つまり、データを収集または送信しません。 。データはPANを含む場合にのみcardholder dataになることに注意してください。それ以外の場合、クレジットカードの支払いを行ったかどうかに関係なく保持できるのは顧客データのみであり、その顧客データのデータ処理セキュリティは良好ですが、 PANが含まれていない場合、カード会社の事業ではないはずです。

技術的には、PDTとIPNはcardholder dataを返さないことに注意してください。これは、返された顧客とトランザクションの詳細にPANが含まれていないためです。

1
Patanjali