Google Cloud機能を使用してPCI認証を取得していますか？

Question

私は、クレジットカードの詳細を受け取らなければならないウェブアプリケーションに取り組んでいますが、設定された支払い処理業者にその詳細を渡し、保存されるカードID /トークンを受け取れるようにしています。

通常、これはフロントエンドでJSリクエストを介して支払いプロセッサに直接送られ、ノンスを返し、バックエンドはその仕事を行います。しかし、これは私の場合ではありません。

私はCCデータを保管することはしませんが、私は技術的にそれらを処理します（CCデータはサーバーと私のコードに入ります）ので、私はPCI認証が必要です。

しかし、私はそれを買える余裕がある大企業ではないので、少なくとも今は避けたい。

セキュリティとPCI DSSの観点から、CCデータを受け取るGoogle Cloud機能を作成し、検証と支払プロセッサ設定のためにアプリケーションを呼び出し、選択されたCCデータを送信することが大丈夫だろうと思いますトークンをアプリケーションに戻して実行する必要があるものを実行し、アプリケーションからの結果をクライアントに戻すことができます。

技術的には、CCデータは認定されたGoogle Cloud機能インスタンスにのみ入力され、CCデータはPCI認定の支払いプロセッサに安全に送信されます。そして、私はこのケースで自己評価アンケートD - サービスプロバイダが認証の必要なしで十分であるべきだと思います。

私の前提は正しいですか？

Answer 1

サービスプロバイダの場合は、使用している設定に関係なく、サービスプロバイダにSAQ Dが必要です。基本的には、クレジットカードから徴収されたお金が他のelses商人の口座に入金された場合、あなたはサービスプロバイダーです。

SAQはSAQの中で最も難しいですが、「認証」（証明書はありません）やRoCとの違いは、基本的に信頼できる団体があなたがSAQを正しく行ったことを確認することです。 1年に一定数の取引を処理する場合は、RoCのみが必要です（年間$ 25Kのオーダー）。

はい、GCPクラウド機能を使用することができ、PCI準拠に役立つはずですが、実際にはPCIに準拠するために必要な全体的な労力についてそれほど大きな違いはありません。すべてのポリシーと手順、コードレビュー、SDLC、侵入テストなどが必要です。要件は139ページです。

技術的にはPCIに準拠する必要はありません.PCIに準拠したプロバイダを使用するのは商人に任されています。明らかに最良のアプローチではありません。

QSAと話をしていると、おそらくその周辺に数百ドルのコンサルティング手数料があります。これを1つのクライアントに対して行う場合は、たとえばサービスプロバイダとはみなされない可能性があります。

幸運にも、あなたがやっていることを聞くことは素晴らしいことです。