来自商家的PCI符合性问题

Question

我是一家为房地产拍卖进行网上拍卖的新公司。在搜索要使用的软件时，我对PCI法规一无所知。我的商人账户告诉我这很容易。如果软件的开发者已经创建了一个从我的网站到我的支付网关的托管表单的话。

因为他们没有，我被要求进行AVS扫描，但失败了。软件开发人员(与拥有该软件的公司不同)告诉我，PCI法规是胡说八道，他有SSL证书，所以一切都是加密的。他说，在建立了700个网站之后，他只听说过几次PCI的遵从性，没有人能够告诉他如何修改才能符合标准。软件的所有者也声称从未听说过PCI的遵从性--他们使用该软件，其他6到7家从未让商家账户询问过PCI法规(据说)的独立企业也使用该软件。我已经结束了和这家公司的关系。

我现在正在从另一家公司试用软件，该公司既拥有软件，又雇用开发人员。他们声称有一个符合PCI的环境，但他们也不使用托管表单-他们使用API将信息发送到网关，这可能意味着我需要每90天扫描一次。我不担心不便，我关心的是我的客户的安全和责任。

似乎我完全被PCI法规所吸引，包括罚款和更换卡的成本等等，但是开发者/软件公司在游戏中没有皮肤，没有什么可失去的，也没有动力改变到一个主机形式，使PCI法规合理的商人谁不想或负担不起自己的软件。这是正常的吗？有人能告诉我为什么PCI法规只在商家身上吗？我已经准备好关闭我的业务，因为似乎只有我一个人，当涉及到遵从性的时候，我没有控制软件，除了我选择使用它。我不会在晚上睡觉，除非我知道我正在尽我最大的努力来保证我的客户的数据尽可能的安全。这里有人能提供洞察力或建议吗？或者这是我的行业特有的？

Answer 1

首先，任何说"PCI遵从是胡说八道“的人都是无能的；离开他们绝对是正确的选择。还请注意，PCI赔偿责任意味着您不仅要支付罚款和换卡，而且还要承担从您的环境中窃取的信用卡数据的所有欺诈行为。如果窃贼买了法拉利车队，你们就完蛋了。( PCI责任还有其他细微之处，但网络销售几乎肯定是最不安全的选择，而且总是会承担更多的责任。)

关于拍卖软件，请考虑寻找执行您希望提供的功能但根本不执行支付处理的软件。在支付处理游戏中有很多玩家；因为安全栈Exchange策略禁止产品推荐，所以我们不能给您提供一个特定的列表。有许多著名的大公司通过网络赚钱，你应该不难找到一个。

找到一家支付公司的一个好方法是观察他们是如何工作的。下次你在网上购物时，看看付款公司是否会带你去他们的品牌网站进行付款处理，然后在你的付款获得批准后，再把你送回商店的网站。这就是你应该考虑雇佣的那种支付公司，它让所有的PCI风险都远离你的掌控。

一旦你看到了支付空间中的不同玩家是如何运作的，你就会知道在你的拍卖软件购物中该找什么，该问谁。有些人可能更喜欢一个支付网关而不是另一个支付网关，或者只提供一个选项；如果你不介意他们选择供应商的话，这可能是可以的。如果拍卖软件公司还没有提供这种集成到他们的现成包，问他们什么时候计划提供，而不是如果。让他们知道，你只会买一个包，为你提供完全隔离支付环境。

Answer 2

奇怪的是，信用卡无处不在，而PCI遵从性相对闻所未闻，这可能是因为很难接触到它，顾问们也利用了这一点。这是一个根本的缺陷，真的，把所有的风险，通过一个设计不善的系统，并承担所有的利润商人。希望未来密码货币将在这一领域有所帮助。

总之，实际上是：

1. 查看pci理事会网站的官方文档，他们也有一个官方QSA的列表。
2. 寻找符合PCI标准的服务提供商，获得他们的一致性认证并报告合规情况(每年都这样做)，确保在与他们签订的合同中显示他们符合pci标准。这样，如果他们的系统有漏洞，责任就转移到他们身上。
3. 如果您想自己设置支付部分，使用iframe或从Stripe/Paypal重定向解决方案(几乎每个支付网关都有此选项)，那么您应该只需要SAQ A(最简单的遵从性自我问卷)。
4. 你可以试着和你的商业银行谈谈，它们通常很有帮助。你也可以和QSA谈谈，他们会给你建议该怎么做。

这不应该是什么大问题，除非你试图做一些花哨的事情，只是确保覆盖你的基地。祝好运!

Answer 3

银行和许多其他商业服务提供商都知道，商人有责任确保他们遵守规定。他们也知道，如果你不遵守，他们可以收取更高的不符合规定的费用。因此，这就是我的观点，为什么他们不通知一个新的商人，这是必要的/提供帮助。我是一个商人服务公司的入职管理员，我自豪地帮助我们的商人与PCI通过浏览业务简介和问卷与他们。在寻找商家服务时，避免那些在个人电脑上提供很少或根本没有帮助或建议的人，或者说这很容易。这不是一件容易的事，也可能是一种痛苦。当一家公司受到欺诈的打击时，这是一个巨大的帮助。如果你拿卡，请确保你是顺从的，这也会降低不符合规定的费用。