Соответствие PCI

[Trilalirt]

Привет,

Paypal недавно заморозил учетную запись моего клиента, поскольку они говорят, что мы должны соответствовать требованиям PCI. Мы управляем магазином, использующим Wordpress, Woocommerce (со шлюзом WooCommerce PayPal Pro (Classic и PayFlow Editions)), все они размещены на общем плане Hostgator с сертификатом SSL и выделенным IP-адресом.

Насколько мне известно, мы не храним информацию о кредитных картах, но будем признательны за помощь в выяснении этого факта, если мы храним информацию о ней. Я просмотрел таблицы базы данных, и мне ничего не бросается в глаза.

Что нам нужно сделать, чтобы это снова заработало? Я просмотрел анкету самооценки SAQ A-EP. Я думаю это правильный вариант? Он задает много вопросов, касающихся роли сервера (за которую отвечает Hostgator). Кажется, это огромный документ для организации такого размера.

Другой вариант — перейти на хостинговый шлюз Paypal Pro (https://woocommerce.com/products/woocommerce-gateway-paypal-pro-hosted/). Это ограничило бы тип карт, которые мы могли бы использовать, но я не уверен, что есть какие-либо другие недостатки. Будет ли при этом работать корзина покупок на нашем сайте?

Я был бы признателен за любую помощь, которую вы можете оказать. Онлайн-справка кажется настолько сложной (с учетом всех вариантов), что я не могу найти никакой поддержки для нашей ситуации.

Большое спасибо,

Грэм

 

[kingvor]

Рад, что Trustwave помог вам решить эту проблему! Просто хотел вмешаться и отметить, что SSL недостаточно, чтобы помочь сайтам достичь соответствия PCI (https://www.pcicomplianceguide.org/pci-faqs-2/#13). Если вы на самом деле собирали информацию о кредитной карте, SSL не будет блокировать попытки внедрения SQL, и для соответствия PCI в соответствии с Требованием 6.6 потребуется либо ручная оценка уязвимости (в которой вам помогло Trustware), либо брандмауэр веб-приложений (https://www.pcisecuritystandards.org/documents/information_supplement_6.6.pdf). Если вы не просто заинтересованы в прохождении теста и вы на самом деле заботитесь о безопасности своего сайта, я бы посоветовал инвестировать в WAF или использовать бесплатную службу безопасности, такую как Cloudbric.

 

[Ксекос]

Хорошо, теперь у нас есть соответствие PCI. Спасибо за ваш комментарий, Джестеп, я очень ценю помощь.

Поскольку мы в основном сотрудничаем с PayPal, мы использовали Trustwave для сканирования нашего сайта. У нас была ссылка от PayPal со значительной скидкой. Trustwave в целом были очень полезны. Во многих отчетах о самооценке я говорил, что области неприменимы, поскольку Hostgator управляет этими областями, и они совместимы с PCI. После того, как вы заполнили отчет о самооценке в Trustwave (нам была присвоена самооценка D) и первое сканирование было выполнено (и прошло успешно), Trustwave свяжется с Paypal и снимет все ограничения.

 

[Santa2]

Приятно слышать. Trustwave — один из лучших QSA, с которым приходится иметь дело, поскольку они, как правило, стараются помочь больше, чем многие другие, которые не вмешиваются и отвечают только на очень простые вопросы высокого уровня. D также является худшим торговцем SAQ, с которым приходится иметь дело. Приятно слышать, что теперь Hostgator соответствует требованиям как поставщик услуг. Раньше так не было: вам нужно было бы получить выделенный сервер, по крайней мере, чтобы иметь возможность доказать, что существует достаточная сегментация, чтобы сделать соответствие PCI хотя бы отдаленно возможным с ними.

 

[Sitecreator]

Нет, сделка происходит на нашем сайте. Похоже, нам нужно обеспечить соответствие требованиям, но HostGator нам не помог. При самооценке возникает множество вопросов, касающихся управления сетевой безопасностью. Ответ Hostgator заключался в том, что это была самооценка и мне нужно заполнить форму, они не могут мне помочь. Действительно неприятно, поскольку обсуждаются их процедуры.