Domanda riguardante le finestre del browser durante l'integrazione con il software di pagamento di terze parti

2

Mi è stato detto che durante l'integrazione con un gateway di pagamento di terze parti, la finestra dell'altro sito web non deve essere aperta in un iFrame o in una finestra separata - che la finestra dell'applicazione stessa dovrebbe reindirizzare al gateway di pagamento.

  1. Dove trovo la documentazione che supporta questo reclamo?
  2. Una nuova pagina sarebbe totalmente sicura. Quindi esiste una ragione per questa regola di regole oltre a consentire al sito Web di continuare con la transazione
posta Vivek Kodira 22.09.2014 - 19:36
fonte

2 risposte

2

Questi non sono requisiti PCI.

Dovresti leggere le Linee guida E-commerce PCI DSS . La sezione 3.4 descrive "Implementazioni comuni di e-commerce" come:

  1. API di terze parti con post diretto
  2. iFrame che incorpora la pagina di pagamento di terze parti nel sito del commerciante
  3. Reindirizzamento alla pagina di pagamento di terze parti

e, per citare,

These examples are intended to be representative of only a few of the most commonly found basic implementations. By no means are they meant to cover the vast range of deployments, hardware components, software applications, and hosting/services models that may exist.

Il numero 3 è ciò che il tuo contatto ti ha detto che devi fare . Non sono corretti se affermano che il PCI richiede che tu sia limitato a questo, ovviamente. Probabilmente significano che è quello che loro supportano e dovresti farlo e sventolare il PCI è un'efficace mazza da bullo.

Come regola generale, qualsiasi partner commerciale che ti dice che devi fare qualcosa a causa del PCI dovrebbe essere in grado di citare la linea e il verso verso di te. Elenca l'elemento del PCI DSS o del SAQ che ritengono di essere in pericolo di violare. Questo ti dà le informazioni necessarie per risolvere il problema. Un business partner che dice "PCI dice" ma non può o non vuole dire dove è di solito mentendo o confuso.

(A volte devi scavare per farlo, spesso le policy vengono determinate da persone che non hanno a che fare con i clienti, ma vengono propagate dal personale di supporto e di gestione degli account, che non sanno cosa guida i requisiti. essere in grado di chiedere una risposta da qualche parte lungo la catena).

    
risposta data 23.09.2014 - 13:39
fonte
2

L'apertura di una nuova finestra o iframe non modifica le protezioni fornite dalla politica Same-Origin . L' origine eredita le regole del ghiaccio per iframe impedisce a due domini diversi di accedere ai dati degli altri.

Non esiste alcun requisito di sicurezza o PCI-DSS che richiederebbe un reindirizzamento da / a un gateway di pagamento. Questo potrebbe essere un requisito di usabilità richiesto da uno specifico gateway di pagamento.

    
risposta data 22.09.2014 - 20:26
fonte

Leggi altre domande sui tag