it-swarm-es.com

¿PA-DSS se aplica a A SaaS ECOMMERCE SISTEMA?

Mi empresa desarrolla y alberga un sistema de comercio electrónico personalizado y CMS. Ofrecemos esto solo bajo un modelo de servicio software-AS-A alojado. Estamos en total control del entorno de alojamiento, y nuestros clientes no tienen control sobre el código fuente. No pueden desplegar en su propio hardware; Tienen que arrendar el software de nosotros.

Estoy siendo preguntado por un vendedor si tenemos compatible con PA-DSS. De acuerdo con los requisitos de PA-DSS y procedimientos de evaluación de seguridad V2. :

PA-DSS no se aplica a las solicitudes de pago ofrecidas por las aplicaciones o proveedores de servicios solo como un servicio (a menos que tales aplicaciones también se venden, con licencia o distribuidas a terceros) porque:

  1. La solicitud es un servicio ofrecido a los clientes (típicamente comerciantes) y los clientes no tienen la capacidad de administrar, instalar o controlar la aplicación o su entorno;

  2. La aplicación está cubierta por la propia aplicación o el propio proveedor de servicios PCI DSS Review (esta cobertura debe ser confirmada por el cliente); y/o

  3. La solicitud no se vende, distribuye ni se licencia a terceros.

Estoy tratando de entender si caíamos bajo esos criterios. Me suena como lo haríamos, porque estamos en pleno control sobre el software; Somos el proveedor de servicios de aplicación y el software se proporciona solo como un servicio. Nuestros clientes no tienen la capacidad de instalar o administrar el entorno de las aplicaciones, solo lo hace nuestro personal. Nuestros clientes pueden, por supuesto , use la aplicación para crear productos y ver sus pedidos, sin embargo, todos los Estados Unidos.

Somos totalmente compatibles con PCI.

¿PA-DSS se aplica a una aplicación de comercio electrónico alojada a medida, como este, cuando el proveedor lo administra el código y el entorno?

8
Josh

PA-DSS no se aplica a las solicitudes de pago ofrecidas por las aplicaciones o proveedores de servicios solo como un servicio (a menos que tales aplicaciones también se venden, con licencia o distribuidas a terceros) porque:

  1. La solicitud es un servicio ofrecido a los clientes (típicamente comerciantes) y los clientes no tienen la capacidad de administrar, instalar o controlar la aplicación o su entorno;

  2. [no se aplica por mi lectura]

  3. La solicitud no se vende, distribuye ni se licencia a terceros.

They cannot deploy on their own hardware; they have to lease the software from us.

TAMBIÉN NOTA: Los terceros significan clientes de sus clientes. ¿No estás exactamente dejando que los clientes de sus clientes usen el software en cuestión? (ignorando la función del carrito de la compra, esa no es la parte que está en cuestión aquí)

Por supuesto, nuestros clientes pueden usar la aplicación para crear productos y ver sus pedidos, sin embargo, US Instalación y mantenimiento del servidor realizado por nosotros.

Realmente no sería un producto si esto no fuera cierto. Es decir: todos los productos deben tener esta capacidad, de modo que se pueda desestimar de la consideración.


Creo, de leer su pregunta/reclamaciones, que el producto que está utilizando está cubierto. Si alguna vez, deja que el cliente vea la totalidad del proceso de facturación, entonces no sería, en mi opinión. Pero debido a que usted controla la infraestructura y solo les da acceso a las partes pertinentes, está cubierto.

Esa es la lectura de mi persona.

5
jcolebrand