[Jan Eriksson]

Citat:

Från och med den 1 januari måste både webbhotell och e-handlare uppfylla de säkerhetskrav som gäller för alla som hanterar kontokort. För många mindre företag innebär det stora förändringar och ökade kostnader.

http://www.idg.se/2.1085/1.580862?mv=pass

Någon som är insatt i detta? Gäller det enbart Payment Providers (och webhotellen etc runt dessa) eller gäller det även webbutiker som har extern betalningslösning?

[visions]

PCI DSS kraven gäller endast ifall du hanterar kortnummer på något vis. Skickar du kunden vidare till en payment processor (DIBS payment window t.ex.) där själva betalningen görs externt så är det de som behöver vara certfierade.

Det framgår dåligt av de artiklar som t.ex.:
http://www.idg.se/2.1085/1.580862/sk...mot-e-handlare

men läs kommentarerna där detta debatteras.

[Jan Eriksson]

Tack, tolka det på samma sätt men artikeln var väldigt dåligt skriven...

[JohanKarlsson]

Citat:

Ursprungligen postat av visions

PCI DSS kraven gäller endast ifall du hanterar kortnummer på något vis. Skickar du kunden vidare till en payment processor (DIBS payment window t.ex.) där själva betalningen görs externt så är det de som behöver vara certfierade.

Det framgår dåligt av de artiklar som t.ex.:
http://www.idg.se/2.1085/1.580862/sk...mot-e-handlare

men läs kommentarerna där detta debatteras.

Skönt att höra att det bara gäller det som hanterar kortnummer och inte de som använder en tredje part för dessa betalningar. Annars hade vi varit trubbel efter nyår...

[Simsim]

Kraven i 3.0 kan komma att träffa e-handlare även om man skickar kunden vidare till en payment processor.

Se: https://www.pcisecuritystandards.org...PCI_DSS_v3.pdf

If any element of a payment page delivered to consumers’ browsers originates from the merchant’s website, SAQ A does not apply; however, SAQ A-EP may be applicable. Examples of e-commerce implementations addressed by SAQ A-EP include:
 Merchant website creates the payment form, and the payment data is delivered directly to the payment processor (often referred to as “Direct Post”).
 Merchant website loads or delivers script that runs in consumers’ browsers (for example, JavaScript) and provides functionality that supports creation of the payment page and/or how the data is transmitted to the payment processor.

[visions]

Citat:

Ursprungligen postat av Simsim

Kraven i 3.0 kan komma att träffa e-handlare även om man skickar kunden vidare till en payment processor.

Se: https://www.pcisecuritystandards.org...PCI_DSS_v3.pdf

If any element of a payment page delivered to consumers’ browsers originates from the merchant’s website, SAQ A does not apply; however, SAQ A-EP may be applicable. Examples of e-commerce implementations addressed by SAQ A-EP include:
 Merchant website creates the payment form, and the payment data is delivered directly to the payment processor (often referred to as “Direct Post”).
 Merchant website loads or delivers script that runs in consumers’ browsers (for example, JavaScript) and provides functionality that supports creation of the payment page and/or how the data is transmitted to the payment processor.

Vilket i mitt tycke innebär att man hanterar kortnummer, dvs om formuläret för kortnumret finns på din sida på något vis. Man bör undvika det och skicka kunden till Payment Processor där de sedan fyller i sina kortuppgifter.
Jag förstår att inte alla gör på det viset och då behöver man antingen certifieras ( kostsamt ) eller ändra hur betalning sker ( mindre kostsamt ).

Man kan sammanfatta det med: Om du på något vis skickar kundens kortuppgifter till din payment processor (antingen via din sida eller via t.ex. javascript i kundens browser) så behöver du+din webhost certifieras.
Jag kan för övrigt tycka att om det sker via JavaScript då borde kundens klient (dator) certifieras?

Om du skickar kund direkt till Payment Processor utan att skicka med kortuppgifter så är du "safe".