HTML 5 postMessage PCI compatibile

2

Stiamo creando un'applicazione (App-A) che consentirà a un utente di inserire le informazioni della carta di credito. Questa applicazione vivrà in una zona non conforme allo standard PCI.

Abbiamo un'altra applicazione (App-B) che esegue anche l'elaborazione della carta di credito e questa applicazione si trova in una zona conforme al 100% PCI.

Se vogliamo sfruttare le funzionalità di App-B, dobbiamo incorporarlo in App-A.

Quello che voglio sapere è - siamo ancora considerati compatibili con PCI se App-A invia dati ad App-B tramite l'API postMessage HTML 5.

    
posta user322731 27.09.2012 - 15:47
fonte

2 risposte

1

Dipende, la chiave su questo è garantire che i dati della carta non vengano memorizzati in nessun meccanismo insicuro (o generalmente leggibile). Fornitori come stripe.com, recurly.com e altri hanno utilizzato JSON-P o altre tecnologie di post sicuro combinate con token unici per rappresentare la transazione per evitare che i commercianti elaborassero i dati effettivi delle carte. Questi funzionano molto simili al metodo che descrivi & consentire che la zona dell'app-A sia classificata come livello richiesto di conformità inferiore. A tal fine, un post dei dati della carta su App-B senza memorizzazione o elaborazione su App-A non dovrebbe essere un problema.

Assicurati, tuttavia, che su App-B tu abbia un metodo valido per convalidare il dominio di origine. L'API postMessage non è di per sé una soluzione definitiva per consentire dati di origine incrociata.

    
risposta data 27.09.2012 - 17:51
fonte
1

In senso lato, l'ambito del PCI è qualsiasi sistema che memorizza, elabora o trasmette i dati dei titolari di carta E qualsiasi sistema connesso a un sistema in ambito.

Se c'è comunicazione tra App-A e App-B, allora sono collegati (almeno a livello di rete).

Ci sono determinate, limitate, circostanze in cui questa connessione a livello di rete può essere considerata non portare il secondo sistema in ambito ma questi dovrebbero essere discussi con un QSA o chiunque stia facendo la valutazione. Se sei auto-valutante, potrebbe essere utile consultare un QSA per alcuni consigli: avranno visto molte situazioni simili a quella che stai descrivendo e saranno in grado di offrire il consiglio giusto.

    
risposta data 28.09.2012 - 09:32
fonte

Leggi altre domande sui tag