HTML 5 postMessage PCI compatibile

Dipende, la chiave su questo è garantire che i dati della carta non vengano memorizzati in nessun meccanismo insicuro (o generalmente leggibile). Fornitori come stripe.com, recurly.com e altri hanno utilizzato JSON-P o altre tecnologie di post sicuro combinate con token unici per rappresentare la transazione per evitare che i commercianti elaborassero i dati effettivi delle carte. Questi funzionano molto simili al metodo che descrivi & consentire che la zona dell'app-A sia classificata come livello richiesto di conformità inferiore. A tal fine, un post dei dati della carta su App-B senza memorizzazione o elaborazione su App-A non dovrebbe essere un problema.

Assicurati, tuttavia, che su App-B tu abbia un metodo valido per convalidare il dominio di origine. L'API postMessage non è di per sé una soluzione definitiva per consentire dati di origine incrociata.

In senso lato, l'ambito del PCI è qualsiasi sistema che memorizza, elabora o trasmette i dati dei titolari di carta E qualsiasi sistema connesso a un sistema in ambito.

Se c'è comunicazione tra App-A e App-B, allora sono collegati (almeno a livello di rete).

Ci sono determinate, limitate, circostanze in cui questa connessione a livello di rete può essere considerata non portare il secondo sistema in ambito ma questi dovrebbero essere discussi con un QSA o chiunque stia facendo la valutazione. Se sei auto-valutante, potrebbe essere utile consultare un QSA per alcuni consigli: avranno visto molte situazioni simili a quella che stai descrivendo e saranno in grado di offrire il consiglio giusto.