Я использую хостинг 1and1 уже некоторое время и в целом доволен их уровнем поддержки и простотой использования их панели администратора.
Тем не менее, я собираюсь перейти от простого ремонта компьютера к электронной коммерции ... Для обработки кредитных карт с помощью PayPal pro мне нужен хост, совместимый с PCI, и я пытаюсь установить цену из моих вариантов. Есть ли у кого-нибудь ссылки, которыми они хотели бы поделиться?
Несколько месяцев назад я исследовал процесс соблюдения требований PCI в своей небольшой некоммерческой организации. На данный момент процесс соответствия PCI - это фикция. Ни один малый бизнес не может соответствовать процессу сертификации PCI, независимо от того, использует ли он центр обработки данных, соответствующий требованиям PCI, или нет.
Все сводится к тому, что индустрия кредитных карт пытается избавиться от зверя, которое росло последние 30 лет. Процесс соответствия PCI предназначен для того, чтобы заставить предприятия использовать основные процессоры кредитных карт для обработки любых транзакций по кредитным картам, гарантируя, что любая информация о кредитных картах никогда не находится в руках конечного продавца (или компьютеров).
Путь PayPal PayflowPro процесс работает, заключается в том, что ваш клиент размещает заказ на вашем веб-сайте, затем они перенаправляются на веб-страницу оплаты PayPal (настроенную по вашему вкусу) для фактического ввода платежа, затем шлюз отправляет обратно на ваш сайт `` ОК '', говоря, что платеж обработан.
Это отличается от того, что происходило в прошлом, то есть они вводили информацию о кредитной карте на вашем сайте, а затем вы передавали эту информацию торговому шлюзу, который затем давал вашему сайту разрешение. Есть и другие торговые предприятия, которые делают то же самое, например authorize.net и Google Payments.
Это изменение означает, что ваш веб-сайт и размещенный сервер не обязательно должны соответствовать требованиям PCI, поскольку информация о кредитной карте никогда не проходит через него. Надеюсь, это не прозвучит напыщенно, но то, как они внедряют PCI и «пугают» клиентов соблюдением требований PCI, а также взимают комиссию в процессе, было шуткой.
Вы найдете множество компаний, готовых продать вам услуги по соблюдению требований PCI (даже на этом веб-сайте), но, на мой взгляд, это просто змеиная нефть.
@Кристофер
Я полностью согласен с тобой. Я был напуган и закрыл магазин, который еще даже не открывал! Пока я не посмотрел на веб-сайт PCI Compliance (https://www.pcisecuritystandards.org/index.shtml) себя. Мне было противно, как крупные компании напугали малый бизнес, заставив его платить за решения PCI Compliance. Соблюдение PCI - это не закон (http://www.pcicomplianceguide.org/pcifaqs.php#23), но в одном штате (Массачусетс) и нет других штатов, активно продвигающих законы для соблюдения требований PCI. Кроме того, существует простой контрольный список из 12 шагов для обеспечения соответствия требованиям PCI. Среди них отсутствие хранения информации о кредитных картах, наличие брандмауэра на сервере и т. Д. Существуют решения для хостинга, которые бесплатно предоставляют брандмауэры и программное обеспечение безопасности на серверах. Кроме того, вы правы, если вы используете поставщика платежных услуг, это его работа в соответствии с PCI, если информация о карте не обрабатывается и не хранится на вашем сайте. Сборы и тюремное заключение, которыми люди запугивают малый бизнес, применяются только в том случае, если клиент был скомпрометирован из-за нарушения с вашей стороны. Как указано на официальном сайте PCI DSS (https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml), продавец может выполнить следующие шаги, чтобы считаться совместимым с PCI, с последующим заполнением анкеты для самооценки и сканированием безопасности, которое всегда должно быть бесплатным:
Требование 1:
Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт
Требование 2:
Не используйте для системных паролей и других параметров безопасности значения по умолчанию, предоставленные поставщиком.
Требование 3:
Защитите сохраненные данные держателей карт
Требование 4:
Шифрование передачи данных о держателях карт в открытых общедоступных сетях
Требование 5:
Используйте и регулярно обновляйте антивирусное программное обеспечение
Требование 6:
Разрабатывать и поддерживать безопасные системы и приложения
Требование 7:
Ограничить доступ к данным держателей карт по служебной необходимости
Требование 8:
Назначьте уникальный идентификатор каждому человеку с доступом к компьютеру
Требование 9:
Ограничить физический доступ к данным держателей карт
Требование 10:
Отслеживайте и контролируйте любой доступ к сетевым ресурсам и данным держателей карт
Требование 11:
Регулярно тестируйте системы и процессы безопасности
Требование 12:
Соблюдайте политику информационной безопасности
Кроме того, наличие корзины покупок, соответствующей стандарту PCI, НЕ делает продавца совместимым с PCI. Соответствие PCI - это скорее проблема сервера / базы данных.
Я согласен. Поскольку компании, выпускающие кредитные карты, подталкивают соблюдение требований PCI к закону. Они должны предоставить сканы и решения бесплатно. На мой взгляд, компании, выпускающие кредитные карты, создали новый источник дохода для таких охранных компаний, как Norton, McAfee, CA, и этот список растет. Нам здесь не нужно, чтобы они заставляли нас соблюдать свои требования, что является непозволительно дорогостоящим для малых предприятий, которыми мы управляем. В конце концов ... именно малые предприятия приносят огромную прибыль гигантам кредитных карт.
Итак, кто действительно получает выгоду от соблюдения требований?
Большинство магазинов электронной коммерции делают все возможное, чтобы позаботиться о безопасности. Теперь приступаем к занятиям по указанию пальца. Это хостинговая компания, это банки, это гиганты кредитных карт. Реальность говорит, что наши сайты взламывают мошенники. Кто сделает их послушными?
Неужели я забыл упомянуть юристов = лоббистов и прочих, которые извлекут выгоду из этого притворства. Пока вывешиваемся сушиться.
Достижение соответствия PCI может быть дорогостоящим и трудоемким. Согласно исследованию, проведенному в марте 2010 г. Ponemon Institute, средняя стоимость аудита PCI составляет от 250 000 до 500 000 долларов для получения начального соответствия. Многие компании не проходят аудит с первого раза, но, работая с провайдером, который предлагает решения для хостинга PCI, вы можете избежать расходов и проверок. Дело в том, что это по-прежнему дорого и, как уже упоминалось, является частью отраслевых стандартных требований к безопасности транзакций по кредитным картам.