Vlastna PCI-DSS-kompatibilna platobna brana

Keby som chcel teoreticky sam spracuvat platby kartami, ako je stripe, braintree, gopay... tzn bol by som poskytovatel platobnej brany, tak kde by som si mohol nastudovat presne navod co vsetko treba riesit a akou formou? Hlavne po technickej stranke. Viem ze jestvuje PCI-DSS standard avsak ak ide o samotnu realizaciu(sw/hw) tak nikde nic nie je, aspon som nenasiel. Tak by ma zaujimalo ci niekto nevie? Opakujem ze mi ide o technicku stranku, nie pravnu/licencnu.

pci-dss je primárně o procesech a monitoringu, nestačí ti jen nasadit nějaký SW.Namátkou třeba potřebuješ:- správa logů (sběr, uložiště, archivace, monitoring, alerty, nezměnitelnost)- pravidelné skeny na bezpečnostní díry a audit systémů- oddělení sítí, firewall, správa infrastruktury- IPS/IDS- šifrování (při přenosu a uložení)- IDM, RBACNa řadu těch věcí je vhodné SW koupit, v open source to je někdy pěkně složité zajistit, ale dá se to.A spousty dalších “drobností”. Pro získání certifikace poté vyplňuješ poměrně rozsáhlý formulář, kde všechny tyhle věci dokumentuješ a popisuješ, občas je vhodné si na to sjednat externí auditní společnost, protože to je poměrně obtížné vyplnit.Náklady na základní implementaci začínají na 100 - 200 pracovních dní. Dá se to samozřejmě udělat i rychleji, ale technicky to je poměrně obtížné, běžně to zajišťují týmy lidí. Dělám v tomhle oboru a právě ty implementace se svoji firmou zajišťuji.PCI-DSS není jedná věc, která se tě poté týká, máme tady poté řadu jiných nařízení.

Teď ještě koukám, že ty chceš být pouze obchodník a karty přijímat, v tom případě spoustu těch věcí, co jsem napsal, je na tebe vyšší dívčí, dělám většinou kolem kartových vydavatelů.Jako český zdroj bych ti pro začátek doporučil https://www.pcistandard.cz/pcidss/obchodnik/, mrkni na formulář pro sebehodnocení a pro tebe asi ta nejnižší úroveň.Jako obchodník zůstaneš cca u:- šifrování- audit přístupů, logy- pravidelný audit od externí společnosti (či pouze ověření shody přes sebehodnocení)- pravidelné bezpečnostní skeny- oddělení systému na zpracování karet (ikdyž to nemusí být v požadavcích, je to nejlepší opravdu udělat i tak)Na těch stránkách to je popsané poměrně dobře, SW zase tolik nepotřebuješ. Pokud jde o provoz, v dnešní době je nejvhodnější jít do Cloudu, Azure na to nabízí poměrně pěkné služby, mají vlastní certifikace, nemusíš řešit různé triky a conově tě to výjde třeba do dvou tisíc měsíčně.Zároveň si dopředu upřesni jaký bude vlastní tvůj model fungování, dnes totiž už nelze jen tak si vyžádat číslo karty, to uložit a v případě platby zadat do terminálu jak to dělaly běžně hotely, taková platba bude zamítnuta, offline platby mizí, nová nařízení vyžadují 2FA. Prakticky to pak vypadá tak, že jsi vlastně platební brána, při zadání karty uděláš preauth, zákazník ti předautorizuje přístup a ty poté můžeš později data využít k vlastní platbě. Pokud to chceš dělat vyloženě offline, potřebuješ mít preauth na recurring payments. Z eshopu, který si u nás implementoval tenhle způsob je třeba Alza, vesměs všichni ostatní používají prostředníka. Nezapomeň ani na to, že ochota dávat platební kartu není vysoká, stejně tak se zvyšuje počet lidí (podle oboru), kteří platí přes apple/google pay.