PCI兼容配方? -- commerce 领域 和 security 领域 drupal 相关 的问题

PCI compatible recipe?


1
vote

问题

中文

我已经努力找到一个非常直的答案,在搜索se之后让我超级舒适, pci basics ,drupal.org, AWS资源,并读取 Drupal PCI合规白皮书。

我想我只是在寻找一些确认或拒绝在以前建立电子商务环境的人。也许这是因为我已经过度思考它(我真的不想让小企业暴露给不必要的责任),也许是因为环境都不同,所以很难说。

我想肯定会使用与现场支付网关(authorize.net)使用Drupal Commerce创建PCI兼容环境。在我们的MOU中,它将取决于网站所有者最终在他们的业务流程写下并采取SAQ(推荐,因为他们应该有资格获得VISA / MasterCard等级),说他们是符合PCI的,但自从我建造网站我想确保他们没有任何麻烦。

只要我们...

    在PCI兼容的环境中托管(在这个例子中的AWS EC2)中托管)
  • 正确配置了防火墙
  • 在SSL
  • 上服务所有相关(但理想情况下)页面
  • 使用良好的密码,没有用户共享
  • 所有安全更新都是针对Drupal和模块提出的

是PCI兼容环境的配方吗?我忘记了任何碎片吗?

我的第二个但相关问题是 - 使用rodupal商业与authorize.net(现场处理)意味着业务应该使用:

  • SAQ-A(卡号:载体:所有支付处理功能完全外包,无电子持卡人数据存储)

  • SAQ-EP(电子商务商家重新指导到第三方,符合第三方的PCI,用于支付处理,无电子持卡人数据存储)

我知道Drupal Commerce通过设计提供"无持卡人数据存储" ,但我对"所有支付处理功能完全外包" 和"商家重新指导第三方兼容服务之间的定义差异非常差异提供商处理'。

感谢您的想法!

英文原文

I've struggled to find a really straight answer that makes me super comfortable to this question after searching SE, PCI basics, drupal.org, AWS resources, and reading the Drupal PCI Compliance White Paper.

I think I am just looking for some confirmation or denial from folks who have set up eCommerce environments before. Perhaps this is because I am overthinking it (I really don't want to expose a small business to unnecessary liability), and perhaps because environments are all different so it's difficult to say.

I'd like to be sure to create a PCI compatible environment using Drupal Commerce with an onsite payment gateway (Authorize.net). In our MOU it will be up to the site owner to ultimately write down their business processes and take the SAQ (recommended, as they should qualify for level 4 from Visa/Mastercard) to say they are PCI compliant, but since I am building the site out I would like to make sure they don't have any trouble with that piece of it.

As long as we are...

  • Hosted in a PCI compliant environment (AWS EC2 in this example)
  • Have firewall properly configured
  • Serving all relevant (but ideally all) pages over SSL
  • Use good passwords, no users are shared
  • All security updates are made for Drupal and modules promptly

Is that a recipe for a PCI compatible environment? Have I forgotten any pieces?

My second but related question is - Does using Drupal Commerce with Authorize.net (onsite processing) mean the business should use:

  • SAQ-A (Card-not-present merchants: all payment processing functions fully outsourced, no electronic cardholder data storage)

or

  • SAQ-EP (E-commerce merchants re-directing to a third-party, PCI compliant service provider for payment processing, no electronic cardholder data storage)

I know Drupal Commerce provides the 'no cardholder data storage' by design, but i'm very unclear on the definition difference between 'all payment processing functions fully outsourced' and 'merchants re-directing to a third-party compliant service provider for processing'.

Thanks for your thoughts!

     
   
   

回答列表

1
 
vote
vote
最佳答案
 

免责声明:请记住,我既不是律师也不是PCI QSA。

在做更多的研究之后 - 我相信,使用rodupal商务与授权in.net的目标(这是商务kickstart配置文件附带的授权模块使用的方法)应该直接降落到在几乎所有情况下的saq-d (请勿通过,不要收取200美元)。

这意味着您需要上面的所有内容以及您的最终(或您的客户端)的更多管理和策略。一个没有巨额预算的小公司对自定义项目的预算不可行。

这里是我发现的最佳/最强大的解释是在一个地方使用的saq。

使用authorize.net减少CDE的范围,需要与SIM(异地表单生成)集成到使用 saq-a ,或dpm(direct post)使用 saq-ep 。这假设您可以对整个资格列表说是的,即,只在线付款,没有POS等。后者选项提供更多自定义,但更加工作。

这个模块看起来它会允许你用笨蛋的商业这样做,但我有没有测试或验证。

看起来像较小的预算客户端应该在PCI(始终)上简要介绍,并计划使用授权网络SIM或PayPal WPS等非现场方法,其中表单由CC处理组织的服务器生成,而且从未触及您的环境。以这种方式,您的环境应该与正确配置超出范围。

这是一个(虽然相当旧的)线程来自authorize.net开发论坛,它具有一些通用和可扩展的配置见解我发现非常有用。

这里是另一个(1岁)白皮书阐述了a PCI符合AWS的框架一般。这些部分中的一些不适用于一个笨拙的商业服务器,但仍然有趣和良好。

更多的想法仍然欢迎。

 

Disclaimer: Keep in mind I am neither a lawyer nor a PCI QSA.

After doing more research - I'm convinced that using Drupal Commerce with authorize.net AIM (which is the method used by the authorize module that comes with the commerce kickstart profile) should land you directly into SAQ-D in almost all cases (do not pass go, do not collect $200).

This means you need all the things above plus much more management and policy on your end (or your clients end). It wouldn't be feasible for a small company without a huge budget for a custom project.

Here is the best/most robust explanation i've found of which SAQ to use in one place.

To reduce the scope of the CDE using Authorize.net, one would need to integrate with SIM (offsite form generation) to use SAQ-A, or DPM (direct post) to use SAQ-EP. This assumes you can say yes to the entire list of qualifications i.e. only take payment online, no POS etc. The latter option offers more customization but is more work.

This module looks like it will allow you to do so with Drupal Commerce, but I have done no testing or verification.

Looks like smaller budget clients should be briefed on PCI (always) and plan to use the off-site methods such as Authorize.net SIM or Paypal WPS where the form is generated by the CC processing organization's servers, and never touches your environment. This way your environment should be out of scope with proper configuration.

Here is a (albeit pretty old) thread from authorize.net development forum that has some general and scalable config insights I found very useful.

Here is another (1 year old) white paper that sets forth a framework for PCI compliance on AWS in general. Some of these pieces are not applicable to just a Drupal Commerce server, but still interesting and good.

Any more thoughts still welcome.

 
 
 
 

相关问题

0  Drupal Commerce Kickstart 2将attrumutes添加到特定产品  ( Drupal commerce kickstart 2 adding attrubutes to specific products ) 
我有一个产品类型,我在该类别中销售了许多不同的项目,其中大多数都具有相同的3选项(颜色,型,电压)。但是,我有几种这种类型的产品,不符合相同的选项设置,因为它们可以为客户选择一个附加选项。 我看到它的方式,我在这里有两个变通方法,它们似乎都没有是"正确的" 方式。要么用所有现有选项创建一个单独的产品/变型类型,还可...

1  如何以定制金额(100或200或其他)以编程方式将产品类型捐赠添加到购物车中?  ( How to add product type donation into cart programmatically with custom amount1 ) 
我正在使用Commerce_Donate模块,我想在以某些其他页面上选择的用户,以编程方式向购物车添加产品(类型=捐赠)。在一些自定义表单上提交,我想将此捐赠类型产品添加到购物车中以处理通常的商务订单/结账。 如何实现这一目标? 谢谢。 ...

1  如何在Drupal Commerce中安装修补的PayPal模块?  ( How to install patched paypal module in drupal commerce ) 
我不是Drupal的专家,但我正在尝试用Drupal Commerce配置一个网站,特别是PayPal模块。 我需要以下两个修补程序: https://www.drupal.org/node/2415489 https://www.drupal.org/node/2415501 那个,如果我理解正确,他们还没...

0  丢失的管理工具栏和库存文件  ( Lost admin toolbar and stock file ) 
我是一个总Drupal newbie所以需要建议。 我安装了一个新的模块commerce_shipping_postal_code_weight-7.x-1.x-dev,并试图激活它。然后,我建议了需要授权的几个其他模块。我授权一切,然后返回我的主屏幕。 我的左手专栏已经消失,其中包含我的登录框,我的库存文件已经消失...

1  如何检查当前用户是否在结账时有订单?  ( How can i check to see if the current user has an an order in checkout ) 
我需要创建如下的条件: if (current user has an order in checkout){ go to the checkout page }else{ go to this other page } 到目前为止,我正在使用: if ($order = com...

1  实体引用作为属性,是商业v2中的可能吗?  ( Entity reference as attribute is it possible in commerce v2 ) 
用户故事: 最终用户应该能够从图像库中挑选图像,并在将该图像附加到产品之前,然后将其添加到购物车之前 在Commerce v1中,通过定义实体参考字段,以及几个其他模块可以通过线项。 EntityReference View窗口小部件。一个样本,虽然没有100%完成,可以在 d7demo 单击" 添加项目"按钮时。...

1  请记住添加到购物车形式状态  ( Remember add to cart form state ) 
有没有办法记住添加到购物车表单上的所选产品属性?我有一个有几个选择的产品。如果用户在产品页面上选择一个并进入另一个页面,则表单将重置并再次选择第一个选项。 ...

0  多域商务与每个域的单独购物车cookie /会话  ( Multidomain commerce with separate cart cookie session for every domain ) 
我有3个指向相同的drupal实例的域(可能没有域访问模块)。 设置: Domaina,DomainB,DomainC。 基于域,使用适当的翻译内容。这是因为它们是具有现有链接的较旧域。 -Domaina:为来自国家/地区的客户服务 -Domainb:为来自国家/地区的客户服务 -Domainc:是新的,将为全...

0  从管理员订单电子邮件更改  ( Change from on admin order emails ) 
在Drupal Commerce模块有没有办法将管理员订单电子邮件发件人更改为客户电子邮件而不是来自管理员的电子邮件? 谢谢! ...

1  设置订单完成  ( Set order complete ) 
我有一个结帐页面,与checkout.js集成。 我已经设置了一切,所以用户用信用卡,姓名,电子邮件等信息填写表格,发送到Checkout.js API。 之后,API响应支付响应和重定向到"/成功" 页面。当发生这种情况时,我想将订单设置为完整。 在Drupal 7中这样做的最佳方法是什么,因此我不会有任何安全问题...

0  从Commerce Ression获取产品数据签订规则签出完成  ( Fetch product data from commerce order on rules check out completention ) 
这是方案: 设计自动化网站,用户购买类型"EditOption" 的产品,编辑器由编辑器和任务组成。当用户购买这些产品之一时,应自动创建一个新的"项目" 内容,其中包含编辑器和必须为他/她分配的任务。所以我想要的是 fetch indectoption的商人订单的数据所以稍后可以用来创建新内容。 我正在寻找基于规则事...

2  由于缺失接口而导致的地址模块PHP错误  ( Address module php error due to missing interface ) 
我已安装地址模块并运行Composer。我检查了CommerceGuys /寻址依赖项。这是正常工作,直到最近的更新(我不确定它是否是Drupal 8.2或地址测试版4),但现在该网站正在给出以下错误。 PHP Fatal error: Interface 'CommerceGuys\Addressing\Mo...

1  商务比利:以表格添加新Textarea  ( Commerce billy adding new textarea in form ) 
要添加一个新的textarea('Invoice_special')用于在Module commerce_billy ,我将以下代码从 commerce_billy_pdf.admin.inc 复制到自定义模块中,但不会出现新表单字段。如果直接编辑文件 Commerce_Billy_pdf.admin.inc ,...

0  如何为商业统一速率模块添加送货方式?  ( How to add shipping method for commerce flat rate module ) 
我正在研究Drupal Commerce的"运输" 部分,我想创建两种运输方法 1.免费运输 2.按2天运输 对于美国。 为"免费送货" 条件是如果订单总额大于100美元,那么我们可以使用"免费送货" 否则它应该申请4美元。 对于"表达2天送货" 条件是令人垂涎的条件小于$ 140那么我们可以花费12美元的别人是免费...

3  如何在1年后使用户角色过期?  ( How to make a user role expire after 1 year ) 
我正在寻找一种方法来使用户角色在1年后到期。在Drupal 7中有角色到期模块。我找到了使用规则模块。但我似乎无法弄清楚如何在Drupal 8中这样做。 更具体的是,我想要的是用户购买商业产品,用户可以在PayWall后面的读取文章中获取用户角色。这个角色应该活跃一年。 我发现的唯一选项正在构建自定义模块,但我想尝试...

0  Drupal Commerce:如何从订单ID检索增值税号码?  ( Drupal commerce how to retrieve vat number from order id ) 
我想打印VAT号码(由模块 vat_number )由模块 commerce_billy ,但我无法弄清楚,如何在订单ID时检索增值税号码给出。 ...

0  添加到购物车表单按钮禁用Boost模块缓存  ( Add to cart forms buttons disables boost module caching ) 
我在我的Drupal 7站点上安装了Commerce Setup。 Boost正在运行正常,但任何具有表单的页面,例如添加到购物车形式。它将禁用升压缓存。我需要一种向Ajax加载这些表单按钮的方法,在加载页面后,因此提升不会缓存表单。 有哪些方法来解决这个解决方案? ...

2  使用付款方式创建商务订单列表视图  ( Create an commerce order list view with payment method ) 
我想用选择的付款方式创建简单的订单列表。 问题:如果客户立即通过结帐进程(不返回从结帐查看和更改付款方式),则只有一个订单的一个支付方法,即确定。 但是,如果客户从Checkout Page返回并更改付款方式,然后完成结账 - 订单有2个支付方法。 现在,内部视图我可以添加与商务单位的关系:付款交易,导致重复。...

2  如何设置用户必须在购买前登录成员?  ( How to set the user must login as member before purchase ) 
如何在购买前将用户登录到成员? 我正在使用drupal版本7,使用 drupal commerce 。 ...

0  Commerce Billy邮件:如何将多个文件附加到电子邮件中  ( Commerce billy mail how to attach multiple files to an email ) 
我有modum 商务比利邮件工作。此外,还要发送附加到邮件的发票PDF,我想发送两个文件(条款&条件和价格列表)。 这是文件commerce_billy_mail.module的函数_commerce_billy_mail_get_attachments,它似乎是适当的函数(?),但我不知道如何添加附加文件:...




© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有


Licensed under cc by-sa 3.0 with attribution required.