• Este debate tiene 2 respuestas, 3 mensajes y ha sido actualizado por última vez el hace 7 meses por Avatarmarcar5.
Mostrando 2 respuestas a los debates
  • Autor
    Entradas
    • #44498
      Avatarcesar_hernandez
      Participante

      Buen dia a todos,

      Mi nombre es Cesar Hernandez y estoy muy interesado en la forma de trabajo de las Payment Gateway/Payment Processor , el standar PCI DSS y PA DSS. Mi interes y a la vez duda, es el proceso que conlleva la creacion de un provedor de payment gateway.

      Hasta ahora se la forma en que trabaja el flujo desde un cliente final de una tienda en linea hasta (soy propietario de una), seguido de la comunicacion entre el software/API o shopping cart hasta el gateway payment, pero tengo un especial interes en este ultimo. Segun la documentacion este debe cumplir el standar PCI DSS y PA DSS, a raiz de este tengo dudas sobre el proceso que necesitaria una empresa para convertirse en un Payment Gateway/Payment Processor.

      ¿Existe alguna documentacion en la cual se detalle este proceso, para poder fundar un proveedor pasarela de pago?. (ademas de los standar a cumplir)

      Es decir, segun lo que he entendido, una empresa, llamemosla «empresa X», adquiere todos los equipos de tecnologia segun el standar PCI DSS (router, firewall, IDS/IPS, servidores, SO, infraestructura, etc), pero ademas de eso tambien necesita un Payment Application validado (como los que estan aca https://www.pcisecuritystandards.org/assessors_and_solutions/payment_applications?agree=true) para poder brindar el servicio de Payment Gateway/Payment Processor. ¿Pero luego de esto que sucede?, «empresa X» necesita tener alguna relacion con bancos locales/internacionales para poder ejecutar el proceso de pago o transacciones monetarias? O es directamente con Visa, Mastercard en lugar de bancos? O es alguna otra «empresa Y» que realiza este proceso?.

      Pasos que tengo entendidos.
      – Adquirir la infraestructura, equipos necesarios para poder alojar y brindar el servicio (standar PCI DSS)
      – Adquirir el payment application (de la lista de proveedores validados) para brindar el servicio a clientes, como B2B (PA DSS)
      – Que es lo siguiente?.

      Muchas gracias por su respuesta y espero que no sea tan complicada mi pregunta.

      Un cordial saludo.

    • #44656
      David AcostaDavid Acosta
      Participante

      Buenas tardes César:
      Según entiendo, lo que quieres es pasar a ofrecer servicios de autorizacion dentro del flujo de la transacción (http://www.pcihispano.com/alguna-vez-te-has-preguntado-por-donde-pasan-los-datos-de-tu-tarjeta-cuando-realizas-una-compra-aqui-esta-la-respuesta/) funcionando como un Payment Processor (procesador o pasarela de pagos). De acuerdo con el glosario del PCI SSC «…Entity engaged by a merchant or other entity to handle payment card transactions on their behalf…». Es decir, una entidad intermedia entre el comercio y el adquiriente que ofrece algún valor agregado (tokenización, pagos internacionales, análisis antifraude, estadísticas, 1-click payment, etc.).
      Siendo así, lo primero que debes identificar es el servicio que le vas a ofrecer a los comercios que hagan uso de tu pasarela.
      Por otro lado, al procesar, transmitir o almacenar datos de tarjetas de pago es obligatorio que implementes el estándar PCI DSS. Para ello – y dependiendo de la cantidad de transacciones anuales que proceses – debes hacer una auditoría o rellenar un cuestionario de auto-evaluación (SAQ). En esta URL puedes encontrar más información http://www.pcihispano.com/niveles-de-cumplimiento-y-requerimientos-de-las-marcas-para-comercios-y-proveedores-de-servicio-en-pci-dss/
      Ten presente que PCI DSS es un estándar de seguridad para un entorno, no para un producto y por ello no existen equipos «certificados» en PCI DSS. Mira el Mito 1 en este artículo http://www.pcihispano.com/una-revision-a-los-10-mitos-comunes-de-pci-dss/
      En el caso de PA DSS, solamente aplica si tu desarrollas una aplicación de pago y la vendes mediante licenciamiento (entre otros casos), pero para el entorno que describes no aplica.
      Por otro lado, después de recibir la trasacción deberás contactar con alguna (o algunas) entidad(es) financiera(s) que se encargue de hacer el proceso de adquiriencia y comunicación con la entidad emisora. Es decir: validar si el dato de la tarjeta es válido y si tiene saldo y se puede hacer la transacción.
      En conclusión:
      1. Identificar el tipo de servicio que ofrecerás
      2. Contactar con adquirientes para la autorización de las transacciones (si aplica dentro del servicio que vas a ofrecer)
      3. Implementar el estándar PCI DSS en el entorno del servicio
      4. Reportar el cumplimiento a las marcas de forma anual
      Siendo así, hay que diferenciar entre el servicio comercial como tal y la implementación de los estándares en el entorno que ofrece el servicio.
      Revisa esta información y si tienes más dudas estoy para ayudarte.
      Saludos,
      David

    • #51710
      Avatarmarcar5
      Participante

      Hola Cesar, me podrías contactar por favor? [email protected]

      • Esta respuesta fue modificada hace 7 meses por Avatarmarcar5.
Mostrando 2 respuestas a los debates
  • Debes estar registrado para responder a este debate.