In cosa consiste la presentazione del pagamento a un indirizzo diverso per PCI-DSS?

Question

In cosa consiste la presentazione del pagamento a un indirizzo diverso per PCI-DSS?

#1 da (1 voti)
#2 da (0 voti)

2

Sto tentando di utilizzare TransArmor PCI Rapid Comply per verificare la conformità per la mia piccola azienda.

A un certo punto, ho due scelte:

1) I clienti inviano pagamenti a un indirizzo Web diverso (ad esempio, un sito Web separato per il pagamento / pagamento)

2) I clienti inviano i pagamenti sul mio sito Web (ad es. il pagamento / pagamento fa parte del mio sito web)

Sto utilizzando un widget JS di terze parti per gestire l'intero lato dell'e-commerce, fornito da BookingBug Ltd, un'entità compatibile con PCI. Con questo widget, i dati di pagamento non toccano mai il mio server, quindi non ho un ambiente di dati di carte. In particolare, non controllo il JS; viene caricato dinamicamente tramite un URL sotto il controllo di BookingBug Ltd. Sono I numero 1) o 2)?

Ho iniziato a lavorare con 2), ma nessuna delle domande successive sembrava essere applicabile. Inoltre, sembravano molto più coinvolti di quanto il proprietario medio di un'azienda potesse rispondere ragionevolmente.

pci-dss

posta ToBeReplaced 01.11.2015 - 01:12

fonte

2 risposte

Leggi altre domande sui tag pci-dss

Esegui fuzzer su qualsiasi servizio o processo in Linux Errore di autenticazione del client SSL

score 1 · Answer 1

Solo un QSA può darti una risposta qualificata, ma posso darti la mia opinione.

Probabilmente sta facendo una distinzione tra SAQ A e SAQ A-EP. Il widget BookingBug funziona tramite un iFrame o esegue un reindirizzamento dell'intera pagina? In tal caso, è probabile che SAQ A sia applicabile al punto # 1.

Se i dati della carta di credito toccano la tua interfaccia di frontend, allora verrai espulso fino a SAQ A-EP, quindi si applicherà il # 2. Se tocca il tuo server, verrai indirizzato a SAQ D.

Sei responsabile di garantire che i servizi di terze parti siano conformi allo standard PCI e lo gestiscano in modo tale da ridurne l'ambito. Risposta breve per accertarsi che il widget stia utilizzando un reindirizzamento iFrame o pagina intera.

score 0 · Answer 2

_{Non sono un QSA, né, più importante, il tuo QSA - questo non deve essere preso come consiglio PCI}

Direi che sei arrivato al punto # 1 perché i dati dei titolari di carta non passano attraverso il tuo sistema: vanno direttamente dal browser web al gateway di pagamento. Il tuo sito può influire sulla sicurezza dei dati delle carte, poiché stai ospitando la pagina di reindirizzamento, pertanto la conformità PCI, come hai notato, è obbligatoria.

In questo caso dovresti completare SAQ A-EP se ti stai autovalutando.