Frage:
Unterliegen alle Softwareanbieter, die Kreditkarteninformationen in ihren Datenbanken gespeichert haben, PCI-DSS oder nur einige?
Warren P
2012-10-23 21:53:53 UTC
view on stackexchange narkive permalink

Ist ein kommerzieller Softwareanbieter, der Software zur Verwendung in den USA verkauft, vorbehaltlich oder gesetzlich vorgeschrieben zur Implementierung von PCI-DSS, wenn seine Software eine Funktion enthält, die das Sammeln und Speichern von Software ermöglicht Kreditkarteninformationen, die jedoch die Zahlungsabwicklung nicht selbst als Teil der Softwarefunktionen ausführen?

Der Softwareanbieter würde die Zahlung NICHT mit dieser Software verarbeiten, sondern lediglich die Kreditkarteninformationen für die Zwecke von verschlüsseln und speichern Vereinfachung der manuellen Zahlungsabwicklung mit Software eines anderen Anbieters. Das heißt, dieser hypothetische Softwareanbieter produziert einfach Software, die mit anderen Zahlungssystemen kommunizieren kann, aber selbst kein softwarebasiertes Zahlungssystem ist. (Kommuniziert beispielsweise möglicherweise mit Digital River oder anderen Online-Zahlungsverarbeitungssystemen und speichert Kreditkarteninformationen in verschlüsselter Form in einer Datenbank.)

Zwei antworten:
AviD
2012-10-23 22:11:51 UTC
view on stackexchange narkive permalink

Zunächst einmal - PCI-DSS gilt für Umgebungen , nicht für Produkte.
Mit anderen Worten, es gilt für Ihre Website, nicht jedoch für das verpackte Produkt, das Sie an Ihre Kunden verkaufen.
Auf der anderen Seite könnte dies für Ihre Kunden gelten, die dann Ihr Produkt benötigen würden, um deren Konformität zu erfüllen.

Zu diesem Zweck haben die PCI-Stipendiaten PA-DSS eingeführt. Dies gilt für Produkte, die in Kundenumgebungen installiert werden können (die dann zur Einhaltung der PCI erforderlich wären).

Nun, in Bezug auf Ihr spezifisches Produkt - PA-DSS würde absolut zutreffen, da Sie Kartendaten speichern oder verarbeiten (auch ohne Zahlungsabwicklung).

Aus den PA-FAQ:

Für die Zwecke von PA-DSS ist ein Zahlungsantrag geeignet, der vom PCI SSC überprüft und aufgelistet werden kann definiert als eine Anwendung, die:
a) Karteninhaberdaten im Rahmen der Autorisierung oder Abrechnung speichert, verarbeitet oder überträgt;
und
b) an Dritte verkauft, verteilt oder lizenziert wird

Tracy Reed
2013-05-09 00:40:43 UTC
view on stackexchange narkive permalink

Ist ein kommerzieller Softwareanbieter, der Software zur Verwendung in den USA verkauft, die der Implementierung von PCI-DSS unterliegt oder gesetzlich dazu verpflichtet ist, wenn seine Software eine Funktion enthält, die das Sammeln und Speichern von Kreditkarteninformationen ermöglicht. Aber was macht die Zahlungsabwicklung nicht selbst als Teil der Softwarefunktionen?

NEIN. Sie sind gesetzlich nicht verpflichtet, PCI-DSS zu implementieren. Tatsächlich ist NIEMAND "gesetzlich verpflichtet", PCI-DSS zu implementieren. Das bedeutet, dass es ein Gesetz gibt, das dies vorschreibt. Da ist nicht. PCI-DSS ist eine VERTRAGSBEDINGUNG, wenn Sie ein Händlerkonto haben.

Die Kunden, die die Software zum Abrufen von Kreditkarteninformationen verwenden, müssen PCI-konform sein. Möglicherweise müssen sie nur PA-DSS-kompatible Software verwenden. Wenn sie einen selbstgebauten Einkaufswagen haben, muss dieser nicht PA-DSS-konform sein. Wenn sie eine Drittanbieter-App verwenden, die verkauft / vertrieben wird (wie vermutlich Ihre), muss sie PA-DSS-kompatibel sein. "PA-DSS gilt NICHT für Zahlungsanwendungen, die von Anwendungs- oder Dienstanbietern nur als Dienst angeboten werden (es sei denn, solche Anwendungen werden auch verkauft, lizenziert oder an Dritte verteilt." - https: //www.pcisecuritystandards. org / pdfs / pci_pa_dss.pdf (Sie sollten dieses Dokument lesen)

Aber das ist ihr Problem, nicht deins, es sei denn, sie machen es zu Ihrem, indem sie sich weigern, Ihre Software zu kaufen (was durchaus möglich ist). .

Wenn Sie kein Händlerkonto haben und der dazugehörige PCI-Vertrag nicht Ihr Problem ist. Nicht, wenn Sie nicht zustimmen, es zu Ihrem Problem für einen Kunden zu machen.

+1 Hey, eine tatsächliche Antwort auf die eigentliche Grundfrage, die ich gestellt habe. Natürlich könnte die Frage, ob etwas gesetzlich vorgeschrieben ist, für diese Site jetzt (oops, sorry) nicht zum Thema gehören. Es scheint, dass SE-Sites diese Themen scheuen, zumal die Gerichtsbarkeit in meiner Frage (USA) möglicherweise nicht die Gerichtsbarkeit vieler internationaler Leser auf der ganzen Welt ist.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...