Соответствие PCI

Привет,

Paypal недавно заморозил учетную запись моего клиента, поскольку они говорят, что мы должны соответствовать требованиям PCI. Мы управляем магазином, использующим Wordpress, Woocommerce (со шлюзом WooCommerce PayPal Pro (Classic и PayFlow Editions)), все они размещены на общем плане Hostgator с сертификатом SSL и выделенным IP-адресом.

Насколько мне известно, мы не храним информацию о кредитных картах, но будем признательны за помощь в выяснении этого факта, если мы храним информацию о ней. Я просмотрел таблицы базы данных, и мне ничего не бросается в глаза.

Что нам нужно сделать, чтобы это снова заработало? Я просмотрел анкету самооценки SAQ A-EP. Я думаю это правильный вариант? Он задает много вопросов, касающихся роли сервера (за которую отвечает Hostgator). Кажется, это огромный документ для организации такого размера.

Другой вариант — перейти на хостинговый шлюз Paypal Pro (https://woocommerce.com/products/woocommerce-gateway-paypal-pro-hosted/). Это ограничило бы тип карт, которые мы могли бы использовать, но я не уверен, что есть какие-либо другие недостатки. Будет ли при этом работать корзина покупок на нашем сайте?

Я был бы признателен за любую помощь, которую вы можете оказать. Онлайн-справка кажется настолько сложной (с учетом всех вариантов), что я не могу найти никакой поддержки для нашей ситуации.

Большое спасибо,

Грэм

Рад, что Trustwave помог вам решить эту проблему! Просто хотел вмешаться и отметить, что SSL недостаточно, чтобы помочь сайтам достичь соответствия PCI (https://www.pcicomplianceguide.org/pci-faqs-2/#13). Если вы на самом деле собирали информацию о кредитной карте, SSL не будет блокировать попытки внедрения SQL, и для соответствия PCI в соответствии с Требованием 6.6 потребуется либо ручная оценка уязвимости (в которой вам помогло Trustware), либо брандмауэр веб-приложений (https://www.pcisecuritystandards.org/documents/information_supplement_6.6.pdf). Если вы не просто заинтересованы в прохождении теста и вы на самом деле заботитесь о безопасности своего сайта, я бы посоветовал инвестировать в WAF или использовать бесплатную службу безопасности, такую как Cloudbric.

Хорошо, теперь у нас есть соответствие PCI. Спасибо за ваш комментарий, Джестеп, я очень ценю помощь.

Поскольку мы в основном сотрудничаем с PayPal, мы использовали Trustwave для сканирования нашего сайта. У нас была ссылка от PayPal со значительной скидкой. Trustwave в целом были очень полезны. Во многих отчетах о самооценке я говорил, что области неприменимы, поскольку Hostgator управляет этими областями, и они совместимы с PCI. После того, как вы заполнили отчет о самооценке в Trustwave (нам была присвоена самооценка D) и первое сканирование было выполнено (и прошло успешно), Trustwave свяжется с Paypal и снимет все ограничения.

Приятно слышать. Trustwave — один из лучших QSA, с которым приходится иметь дело, поскольку они, как правило, стараются помочь больше, чем многие другие, которые не вмешиваются и отвечают только на очень простые вопросы высокого уровня. D также является худшим торговцем SAQ, с которым приходится иметь дело. Приятно слышать, что теперь Hostgator соответствует требованиям как поставщик услуг. Раньше так не было: вам нужно было бы получить выделенный сервер, по крайней мере, чтобы иметь возможность доказать, что существует достаточная сегментация, чтобы сделать соответствие PCI хотя бы отдаленно возможным с ними.

Нет, сделка происходит на нашем сайте. Похоже, нам нужно обеспечить соответствие требованиям, но HostGator нам не помог. При самооценке возникает множество вопросов, касающихся управления сетевой безопасностью. Ответ Hostgator заключался в том, что это была самооценка и мне нужно заполнить форму, они не могут мне помочь. Действительно неприятно, поскольку обсуждаются их процедуры.