PCI Security Standards Council

PCI-DSS

[Zpět na seznam témat]

Autor: Moravec (Neregistrovaný)
Datum: 2010-10-15 12:38:20


Dobrý den,

 

Váš kontakt jsem nalezl na webu http://pcistandard.cz/ a rád bych Vás oslovil s otázkou: „Kde v našem případě začít, jak postupovat, k čemu směřovat a jaké normy se nás vlastně týkají v oblasti PCI PA-DSS?“

 

Jsem ze společnosti Kentico Software s.r.o., která produkuje web content management solutions na platforě .NET. To znamená, že zákazníkům nedodáváme hotové weby(e-shopy) ale CMS systém, který jim pomáhá tvořit a zpravovat jejich vlastní stránky – včetně on-line obchodu.

 

Všeobecné informace o našem E-commerce řešení”:

- built-in PayPal payment gateway with support for payment verification using PayPal IPN

- built-in Authorize.NET payment gateway using AIM (Advanced integration method) with support for AVS (address verification system) and CCV verification

- we do not store any payment data such as credit card numbers or CCVs in database

- we always store at least customer general information such as full name/ company name,  e-mail address, billing/shipping addresses even if he finishes his order as "anonymous" user

- if customer becomes registered user we store his login information (username and password)

 

Naše představa je taková, že bychom chěli “otestovat” naše E-commerce řešení (ukázková startovací stránka dodávaná s našim řešením).

 

Mohu Vás požádat o doporučení/rady/typy jak začít, jakých norem si všímat, případně jak řešit certifilkaci...?

 

Děkuji za Váš čas a přínosnou odpověď!

 

Antonin Moravec

Project Manager

 

* Kentico Software

 

Autor: Tým PCI-SBK (Neregistrovaný)
Datum: 2010-10-15 12:38:57


Dobrý den,

 

doporučujeme hned od začátku Vaše kroky konzultovat s certifikovaným PA-QSA auditorem (zvláště pak pokud si nejste jist u některých z níže uvedených bodů, např. zda aplikace spadá, nebo nespadá do rozsahu PA-DSS) - z našeho pohledu je důležité položit si otázku, zdali vyvíjená aplikace bude ukládat, zpracovávat nebo přenášet data o platebních kartách jako součást autorizace nebo zúčtování ve smyslu PCI-DSS (tabulka str. 13 dokumentu v příloze). Pokud je odpověď „ANO“, pak je třeba porovnat charakter aplikace oproti průvodci aplikovatelnosti s PA-DSS (str. 6). V případě, že aplikace spadá do rozsahu PA-DSS, je při jejím vývoji nutné zohlednit bezpečnostní postupy dle všech 14 tříd PA-DSS (str. 17-38). Součástí vývoje musí být rovněž tvorba tzv. PA-DSS implementation guide (dle. str 39).

Jakmile je verze 1.0 finalizována, je nutné najmout si PA-QSA auditora, který provede validaci oproti PA-DSS v cert. laboratořích. Následná instalace do prostředí obchodníka musí být provedena prostřednictvím implementation guide. Závěrem pak provést poučení zákazníka, subdodavatele nebo integrátora o instalaci a konfiguraci platební aplikace způsobem vyhovujícím požadavkům PCI DSS.

Tým PCI-SBK

Nový příspěvek Jméno*:
Reagovat na: #
Text*:

* Povinné pole