PCI的遵守和阿贾克斯
https://stackoverflow.com/questions/4219636
-
26-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我有这样的想法,但是我不确定如果它是PCI符合。我是新来的竞技场的PCI的遵守,我想知道,如果这种情况违反了PCI。
因此,让我们设立了方案。公司A是PCI符合并有一个网服务在https暴露位的功能付款的处理。B公司是不符合标准,但他们的网站是安全的。
下面是步骤的情况。
- B网联系的网络服务通过服务器方的代码。这种服务发送回来一个加密的authetication令牌。
- B将此标记入一个包含的形式接受信用卡信息。
- 用户进入他们的信用卡信息的网站。
- 形式的信息,随着标记,是通过一个阿贾克斯呼吁有的服务.
- 一个是网络服务程序的数据和吐后状态(批准/拒绝/etc)
问题是,由于javascript去直接从用户的计算机公司一的符合要求的服务器,是它PCI兼容?我很有兴趣知道专家在这一领域的想法。
解决方案
小册子于PCI DSS 所有的 PCI的标准
PCI DSS(付款卡的工业数据安全的标准)具有的概念"范围"--确定哪些系统下,PCI的保护伞。
你是个商人或一个软件供应商? 如果潘(主要帐户号码),长的信用卡号码,是从来没有送到你的网站,然后你的网站通常是没有根据的PCI的范围。-假设你是商人。如果你是个软件供应商,然后你的软件可能的范围PA-DSS(见下文)。
潘过境服务器 旧的想法是,盘将发到你的网站(通过浏览器形式提交),然后你的网站将周转和发送给付款网关(例如:Authorize.Net).在这种情况下,是从来没有储存在服务器上,但是没有 过境 你的服务器。这意味着你的商家系统不会在PCI DSS范围,因为他们永远不会存储的盘。但是那些日子已经结束或已经走了。(这取决于如何积极您的收购者/商人帐户的供应商是关于PCI。)
控制你的网页 因为你的网页没有发射任何锅给你的服务器,你不是在PCI的范围。但你怎么知道的人并没有改变你的网页传送泛回到你的服务器(或其他地方,使用他技术)?答案是,你需要保证自己不会改变你的支付形式的网页。
你怎么保证你自己这是你的。你可以使用的PCI技术或其他技术。这一问题的内部计算机安全和审计。
付款应用数据安全的标准(PA-DSS) 如果你卖软件的商人那么它可能会范围内的PA-DSS标准。看看 标准.
PCI是政治性的,而不是技术 记住,PCI的范围是你的。如果你是个足够大的商人,那么你还需要工作有一个质量支助和保证(有资格的安全评估),他们会审查和确定你PCI遵守和界定范围的计划。
这当然是可能的,一个质量支助和保证可以这么说因为你控制你的网页,需要以下PCI由于它可能被破坏的人。但是,这将是一个爱出风头的论点。毕竟,然后您可以说,每一个网页的任何互联网商人需要在PCI由于任何网页可能会损坏到要求人们对于一个锅和再做坏事。另一方面,正是这种论点,即签证是使用增加PCI范围的企业享有特许权的人。 文章.
PCI证书不是一个借口 还注意到,卡协会有权把你赶出去如果你有一个突破--即使你是PCI符合。所以你要确保你是一个非常艰难的目标比其他任何人在你的区块。
添加: 更多关于划定范围 正如你可以告诉从上面的一个关键问题是哪些系统或出PCI的范围。PCI理事会现在具有特殊利益集团(签名)审查这一整个问题是什么以及什么是出于PCI的范围。我猜他们只想封增长,不是缩小。
添加: 这是你和你的律师 您的方案已经开始泛的处理做你的客户浏览器。泛从来没有达到你的系统,甚至不是一个瞬间。所以我的解释是,你出来的商人PCI DSS范围。但你是一个签署PCI合规声明这是合同您和您的收购者。所以这是给你和你的律师来解释PCI DSS标准,不是我。
底线 你应该永远存储盘上的数据系统。你甚至不应该有它的过境系统。新的付款网关协议Authorize.Net 和布伦特里使没有-过境的技术。根据你的卷的信用卡交易,PCI的遵守而变化,从一个自我管理的清单的一个巨大的项目。
对于更为PCI战争的故事,检查 StorefrontBacktalk 博客和他们的 PCI的复盖范围.
其他提示
拉里*K的答案是好的。它主要是一个政治/层的事情。
看来,使用一个框架,用于张贴从B到一个是一个接受的解决方案,同时采用的Ajax-与软或者他-是有点多疑但是,至少对于一些大玩家,可以接受的。
的 信息的补充:PCI DSS电子商务的准则 v2缝来说,这种解决办法(直接后API)确定但你 应该 照顾到安全代码(虽然PCI DSS没有规定任何具体的你会需要做的)-见的部分 3.4.3.1第三方嵌入Api的直接后 和这有关 3.4.3.4安全的考虑对于公共管理的电子商务实现的, ,其内容如下:
直接后API的方法:与直接后API的方法, 商家仍然是负责网页,该网页是提出来 消费者和商人举办领域的支付页 接受的数据只有持卡人数据发布直接从 消费者为服务提供者。由于支付网页都是 举办由商人,所支付的网页仅仅是安全的 商人网站,以及一个妥协商的系统可以 导致一个妥协的支付卡数据。...具体而言,对于所有上述情况,该商人应该 监控的任何证据表明,系统已经改变,并迅速做出反应 恢复系统,以可信任的国家在未经授权的更改 检测。商人通过这些共有的管理外包 模型,以尽量减少适用于PCI DSS要求应该知道的 潜在的风险是固有的这些类型的系统 建筑。到最小的攻击在这些情况下, 商人应当申请额外的尽职调查,以确保网 应用程序开发安全和经历彻底的渗透 测试。
例如的 条支付网关,采用的直接后超过他 由于2012年而不是框架的方法,他们使用之前。
另一方面,WePay还提供了一个直接后API,但建议框架得到完全摆脱PCI的要求[WP](声称的直接后API"[..]你还是需要以符合支付卡的工业数据安全的标准(PCI-DSS)和付款的应用程序的数据安全的标准(PA-DSS)每当适用。"(不指定究竟是什么"时适用"装置)。
[WP]WePay链接: https://www.wepay.com/developer/tutorial/tokenization
我最近经历了一些PCI-遵约的工作,为我们的服务器,那么这是正确的,在我的面前。简短的回答是没有。
PCI的遵守要求每个步骤的路径通过这些敏感的信息传递满足PCI的要求本身。东西可以是安全的,但不符合标准,正如你指出,关于公司B。因为你已经指出,公司B是不符合PCI标准,但公司B是收集信用卡信息,通过他们自己的网站,那么整个过程中,从逻辑上讲不符合标准。
是否为PCI-遵约服务的实际连接这些点以及它们将如何证明它作为通过或失败可能是另一回事。
无论它是否"技术上"满足PCI的标准(或不是),我不会把我的信任以这种方式做事。
如果形式上的页面内B的主机名、B已完成的访问是什么形式领域。(B服务器能够向用户发送的恶意JavaScript如果它想。)
最安全的方式这样做(在条款保护的信用卡号码)将形成完全的内hostname的支付处理服务,而不是在一种不信任的主机名称。
