Uno scenario comune per i tipi di transazioni di carte di credito e-commerce è un sito Web con una connessione a un processore di pagamento di terze parti. Per una serie di motivi potresti non voler utilizzare un iFrame o un reindirizzamento di pagina, ma così facendo si apre in modo significativo l'ambito PCI. Supponendo che i dati dei titolari di carta non vengano mai inviati ai server, vorrei sapere se l'utilizzo di un CDN di terze parti conforme PCI (ad esempio AWS CloudFront) ridurrebbe in modo significativo l'ambito PCI per quanto riguarda l'infrastruttura?
Prendi questo esempio; il sito web di un commerciante è costituito da un file html che contiene un modulo per la raccolta delle informazioni di un cliente e i dettagli della carta di credito. Quando il cliente ha compilato i dettagli e preme invia i dati della carta di credito verranno inviati ai processori di terze parti direttamente dal browser tramite un POST ajax e riceveranno un token in cambio. Il token e altri dati vengono quindi inviati al server del commerciante, escludendo ovviamente tutti i dati di titolari di carta.
Supponendo che il sito Web sia l'unico sistema di ambito, sembrerebbe che molti dei requisiti PCI non vengano più applicati. Sarebbe segmentato per impostazione predefinita, il provider CDN si prenderà cura di antivirus e IDS / IPS, non ci sarà SSH, non ci sono servizi interni come SMTP, la configurazione del firewall verrebbe notevolmente ridotta o rimossa (poiché potrebbe esserci solo una porta dentro e fuori) ... Sono sicuro che c'è di più.
Ovviamente avresti ancora bisogno di assicurarti che il codice sia scritto in modo sicuro, avere un test di penetrazione e ci sono molti altri requisiti che si applicano ancora, ma a prima vista sembra una soluzione molto sicura, come un sistema sigillato scatola, che potrebbe ridurre notevolmente la portata.
Domande:
- Per l'esempio sopra quale sarà lo scopo? Solo la distribuzione CDN? L'origine? Il computer di sviluppo utilizzato per caricare il file html?
- Sarà un problema se non puoi monitorare / registrare il traffico a basso livello da solo? Immagino che la CDN ne sarà responsabile.
Le modifiche: Ho cambiato la domanda da iFrame all'utilizzo di un'API che sembra più utile, poiché spesso utilizzando un iFrame si riduce un commerciante a SAQ A, a meno che tu non sia un fornitore di servizi.