Supponiamo di avere un sito Web di e-commerce, ospitato in Azure (o AWS). Userò un gateway di pagamento di terze parti completamente certificato come livello PCI 1. Tutte le comunicazioni avvengono con TLS 1.1 o versioni successive.
Scenario A : durante il checkout viene presentata una pagina che richiede all'utente i suoi dettagli, inclusa la carta di credito. Questo modulo browser è servito dal server mio in Azure. Quando l'utente preme PAY, utilizzando JavaScript, inviamo i dettagli della carta al gateway di terze parti per elaborare il pagamento e attendere la risposta. In nessun momento i dettagli della carta di credito vengono inviati al mio server in Azure.
Scenario B : anziché utilizzare un modulo di carta di credito dal mio sito, utilizziamo invece la pagina di pagamento ospitata dal gateway di terze parti. Ciò significa che eseguiamo un reindirizzamento al sito del gateway, in cui l'utente inserisce i dettagli della carta, quindi il browser reindirizza alla pagina di pagamento completa.
Scenario C : ordinamento di un ibrido, viene visualizzata la pagina di pagamento ospitata dal gateway in un iframe all'interno di una pagina servita dal mio server in Azure.
Domande:
-
In questi tre scenari, c'è una differenza nell'ambito PCI per il server in esecuzione in Azure? Qual è lo scopo? La nostra infrastruttura di Azure deve essere sottoposta a un audit annuale?
-
Fa la differenza se I sono un commerciante (quindi il gateway di terze parti utilizza il mio account commerciante per mio conto) rispetto a un gateway che elabora le transazioni con il proprio account commerciante , e poi mi rimborserà più tardi.
Sono portato a credere che ci sia una differenza nello scope PCI tra questi scenari, ma non riesco davvero a capire perché. Se il server Azure viene compromesso, un utente malintenzionato può pubblicare pagine dannose e acquisire la scheda dell'utente indipendentemente dall'approccio utilizzato.
Vedo siti di e-commerce che utilizzano sempre lo scenario A, ma sono sicuro che molti di essi sono in esecuzione in ambienti conformi PCI.