Se ospito un modulo Web che invia i dettagli CC a un provider, ci sono implicazioni PCI nell'host?

3

Mi chiedo se qualcuno abbia qualche idea su una domanda specifica che ho. Ho letto molto sui sistemi che "archiviano, elaborano, inviano" dati CC che richiedono conformità.

Se ospito un modulo sul mio sito Web che prende i dettagli CC e li invia a un provider CC, ci sono implicazioni PCI sul mio sistema (anche se i dettagli CC non raggiungono il mio server?).
I dati stessi non sono memorizzati sul mio sistema. Viene trasmesso tra il browser e il fornitore del cliente, il mio sistema non partecipa. Il mio sistema invia solo il modulo al browser dei clienti e fornisce il codice di pubblicazione.

Sarei interessato a sentire pensieri o esperienze su questo se ne hai.

Grazie in anticipo.

    
posta siro 09.11.2012 - 12:16
fonte

3 risposte

4

Come stai gestendo i dettagli cc? Ho paura che la conformità PCI sia molto più di https,

Ospitiamo un modulo direttamente e trasmettiamo le informazioni alla società di elaborazione all'interno di uno script, non memorizzandole nemmeno come variabili di sessione. Questa è stata una ragione sufficiente per la nostra banca per far fronte ai nostri requisiti PCI man mano che abbiamo gestito direttamente i dettagli di cc. Se immagini che qualcuno ha inserito del codice dodgy sul nostro server, potrebbe fare tutto ciò che è piaciuto con i dettagli della carta di credito.

Ora usiamo un iframe incorporato dalla nostra società di elaborazione delle carte all'interno della pagina web. Non sembra altrettanto buono, ma non vediamo mai i dettagli di cc, quindi il nostro onere di conformità PCI è notevolmente ridotto. Non importa quale codice è sul nostro server ora, i dettagli della carta di credito non sono accessibili.

Un buon punto di partenza sarebbe link , scegli da solo dove mettere te stesso e poi vai da lì.

    
risposta data 09.11.2012 - 13:23
fonte
0

Dipende. Se il modulo viene inviato direttamente al provider, non è necessario eseguire alcuna operazione come parte di PCI-DSS. Se il modulo invia messaggi al tuo server, che quindi invia i dettagli al server di pagamento, sei regolato da PCI-DSS perché gestisce i dettagli.

Indipendentemente da ciò, dovresti assicurarti che la pagina contenente il modulo sia inviata su HTTPS, preferibilmente con HSTS abilitato. Dovresti anche almeno esaminare quella pagina da un esperto tester della sicurezza delle applicazioni web.

    
risposta data 09.11.2012 - 12:37
fonte
0

Parte della risposta di cui sopra nel commento sopra è errata - anche se si invia direttamente al provider e i server non vedono mai un numero di carta di credito o CVV per un solo millisecondo, si è effettivamente sollevati dalla significativa conformità PCI, ma tu hanno ancora una significativa conformità rimanente. Stai memorizzando cose come nome di un cliente, email, indirizzo di spedizione ?? Cosa succede se i tuoi sistemi vengono compromessi quanto basta per rivelare un elenco degli indirizzi email dei tuoi clienti? L'hacker invia quindi email a tutti i tuoi clienti dicendo falsamente che i dati della tua carta di credito sono stati compromessi. Fidati di me, le società di carte ti controlleranno su questo - un controllo forense - dovrai dimostrare che i dettagli della carta NON sono stati compromessi. Un'ipotesi di "colpa" si applica sempre in casi come questo.

    
risposta data 09.11.2012 - 21:58
fonte

Leggi altre domande sui tag