Utilizzo di una CDN per ridurre l'ambito PCI DSS

3

Uno scenario comune per i tipi di transazioni di carte di credito e-commerce è un sito Web con una connessione a un processore di pagamento di terze parti. Per una serie di motivi potresti non voler utilizzare un iFrame o un reindirizzamento di pagina, ma così facendo si apre in modo significativo l'ambito PCI. Supponendo che i dati dei titolari di carta non vengano mai inviati ai server, vorrei sapere se l'utilizzo di un CDN di terze parti conforme PCI (ad esempio AWS CloudFront) ridurrebbe in modo significativo l'ambito PCI per quanto riguarda l'infrastruttura?

Prendi questo esempio; il sito web di un commerciante è costituito da un file html che contiene un modulo per la raccolta delle informazioni di un cliente e i dettagli della carta di credito. Quando il cliente ha compilato i dettagli e preme invia i dati della carta di credito verranno inviati ai processori di terze parti direttamente dal browser tramite un POST ajax e riceveranno un token in cambio. Il token e altri dati vengono quindi inviati al server del commerciante, escludendo ovviamente tutti i dati di titolari di carta.

Supponendo che il sito Web sia l'unico sistema di ambito, sembrerebbe che molti dei requisiti PCI non vengano più applicati. Sarebbe segmentato per impostazione predefinita, il provider CDN si prenderà cura di antivirus e IDS / IPS, non ci sarà SSH, non ci sono servizi interni come SMTP, la configurazione del firewall verrebbe notevolmente ridotta o rimossa (poiché potrebbe esserci solo una porta dentro e fuori) ... Sono sicuro che c'è di più.

Ovviamente avresti ancora bisogno di assicurarti che il codice sia scritto in modo sicuro, avere un test di penetrazione e ci sono molti altri requisiti che si applicano ancora, ma a prima vista sembra una soluzione molto sicura, come un sistema sigillato scatola, che potrebbe ridurre notevolmente la portata.

Domande:

  • Per l'esempio sopra quale sarà lo scopo? Solo la distribuzione CDN? L'origine? Il computer di sviluppo utilizzato per caricare il file html?
  • Sarà un problema se non puoi monitorare / registrare il traffico a basso livello da solo? Immagino che la CDN ne sarà responsabile.

Le modifiche: Ho cambiato la domanda da iFrame all'utilizzo di un'API che sembra più utile, poiché spesso utilizzando un iFrame si riduce un commerciante a SAQ A, a meno che tu non sia un fornitore di servizi.

    
posta Richard 14.11.2015 - 01:54
fonte

1 risposta

3

Sì, spostare la gestione dei dati del titolare della carta (CHD) dalla tua rete a terze parti conformi PCI è un eccellente modo di ridurre l'ambito PCI della tua implementazione. Avere la pagina di pagamento ospitata con una terza parte conforme allo standard PCI e integrare la trasmissione di CHD a un tokenization di terze parti conforme a PCI e al fornitore di servizi di storage sicuro riduce notevolmente l'ambito PCI.

Nota che stai continua a trasmettere CHD da questo sito. Quindi, mentre questa implementazione ridurrebbe il tuo ambito, il codice di integrazione sarebbe ancora in scope. Devi comunque proteggere da Cross Site Scripting (XSS), reindirizzamenti di hack dalla pagina di pagamento al sito di terze parti, ecc. Raccomanderei di fare scansioni PCI trimestrali con un fornitore di scansione approvato qui.

Tuttavia, non credo che usare un CDN per raggiungere sia l'ideale. Mentre un CDN potrebbe funzionare, sembra la tecnologia giusta per questo tipo di implementazione. Il server di origine potrebbe essere considerato nell'ambito, rendendo la propria conformità PCI un problema e complicando l'implementazione.

Dato che il requisito è quello di funzionare solo con terze parti conformi PCI per le pagine di pagamento, suggerirei di utilizzare un provider di servizi conforme PCI per l'hosting, come ad esempio GoDaddy Quick Cart. Con questo servizio, è possibile ottenere la conformità PCI di livello 1 a $ 9,99 al mese e personalizzare la pagina di pagamento per gestire il CHD e interfacciarsi con il provider di tokenizzazione. Penso che avrai più flessibilità con questo tipo di servizio in hosting e ridurrai comunque l'ambito PCI.

    
risposta data 17.11.2015 - 16:50
fonte

Leggi altre domande sui tag