Сертификация PCI DSS

Стоит задача пройти сертификацию PCI DSS для e-commerce сайта для приема карточек на сайте.
Все компании, оказывающие такие услуги не сообщают ничего конкретного пока не заполнишь несколько анкет.
Поэтому прошу помощи у хабовчан:
1. Сколько (приблизительно) может стоить такая сертификация? В Level 4 мы укладываемся по количеству транзакций.
2. Сколько (приблизительно) времени занимает такая сертификация?

Ну и оффтоп вопрос:
3. Встречался ли кто-то может на собственном примере, может видел какие-то исследования, как меняется конверсия при переходе к системе, когда пользователь вводит данные карт непосредственно на сайте магазина?
  • Вопрос задан
  • 9649 просмотров
Пригласить эксперта
Ответы на вопрос 5
@Bezgodov
Привет, я QSA-аудитор, если ты Интернет-магазин 4 уровня, то тебе нужен SAQ и ASV. SAQ — это лист самооценки соответствия PCI DSS. ASV — это сканирование сайта на наличие уязвимостей.
Если хочешь хранить карточные данные в своей системе, то тебе нужен SAQ D — это стоит ококло 10K USD и 4 месяца, а если только передаёшь их через свой сайт в платежный шлюз или банк и не хранишь у себя, то SAQ C — это около 6K USD и 2 месяца, если же и не передаешь, а отправляешь покупателя на форму платёжного шлюза — то около 2K USD и 2 недели всего. Могу помочь, пиши.
Ответ написан
FilimoniC
@FilimoniC
Напоминаю, что с PCI 1.2 аудитор несет материальную и репутационную ответственность за проверяемую компанию, так что шоколадки можно спрятать в стол )
Ответ написан
@himik
1. сумма сильно зависит от специфики вашей. от 10к евро ориентируйтесь
2. по времени все бумаги, потом проверки и аудиты занимают не меньше 4 месяцев-полугода
3. все зависит от ваших дальнейших действий. вам ведь надо еще наладить работу с платежным шлюзом, настроить с вашей или их стороны какой-то антифрод и т.д. очень много ньюансов
и еще вам нужен будет очень толковый админ
Ответ написан
esinev
@esinev
Все зависит от объема.
Если Level 1 — то да, от 10k, аудит на месте. Можно быстрее 4 месяцев, тут все зависит от загруженности аудитора и вашей готовности.
Если Level 2 — то просто заполнение опросного листа и сканирование на уязвимости. Сумма будет в несколько раз меньше.

> как меняется конверсия при переходе к системе, когда пользователь вводит данные карт непосредственно на сайте магазина?
Думаю, покупатель больше доверит данные своей карты платежному шлюзу, где все будет сделано безопаснее.
Ответ написан
@belkaU
очевидно, что некропостинг, однако нет никакого смысла делать PCI DSS ради ВВОДА данных на страницах сайта, т.к. любой вменяемый PSP и так предоставляет такую функцию.

Другое дело, что PCI DSS делают для ХРАНЕНИЕ данных карт. И если у вас нет прямой необходимости хранить данные о картах покупателей, никакого смысла делать PCI DSS нет.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы