Sta prendendo le informazioni CC in semplici elementi HTML, ma usando una libreria come Stripe per tokenizzare PCI compatibile?

Question

Sta prendendo le informazioni CC in semplici elementi HTML, ma usando una libreria come Stripe per tokenizzare PCI compatibile?

#1 da (1 voti)
#2 da (1 voti)

1

Sto costruendo un sito che accetterà pagamenti. Elaborerò i pagamenti con Stripe o Square. Stripe ora ha Stripe Elements e Square ha Square Payment Form. Ho provato il modulo di pagamento quadrato ma è difficile personalizzarlo e caricare molto lentamente. E vorrei avere un controllo semplice sull'aspetto e la forma del modulo.

La mia domanda è, se prendo le informazioni della carta nei normali campi di input ma non memorizzo le informazioni e invece la invio immediatamente a Stripe / Square tramite le loro librerie al momento dell'invio, è ancora considerata sicura / conforme allo standard PCI?

javascript e-commerce credit-card pci-dss

posta pcinewb 19.12.2018 - 20:07

fonte

2 risposte

Leggi altre domande sui tag javascript e-commerce credit-card pci-dss

Prevenire una transazione socializzata syn dimensione del flusso al secondo

score 1 · Answer 1

Devi stare molto attento a capire se stai incorporando un IFRAME da Square / Stripe o usando le librerie JavaScript. Poiché l'IFRAME o il reindirizzamento completo è attualmente classificato come outsourcing, come dice Joe, e sarebbe SAQ A, ma un'implementazione JavaScript richiederebbe che l'utente attesti la conformità utilizzando SAQ A-EP. C'è un documento Visa piuttosto vecchio (ho scritto) che descrive ciò che evidenzia anche gli attacchi.

link

L'attacco di cui devi preoccuparti è noto come Magecart e utilizza JavaScript canaglia per raccogliere i dati delle carte dal browser dell'utente, descritto bene da RiskIQ qui.

link

Personalmente raccomando sempre di reindirizzare completamente il cliente a un processore di pagamento (stripe / square ecc.) poiché questo è il metodo di accettazione che è meno suscettibile agli attacchi. La conformità PCI DSS è solo la metà del problema: l'altra metà si prende cura dei dati della carta di pagamento del cliente.

score 1 · Answer 2

Usando Stripe o Square riduci il tuo onere PCI dal momento che stai "esternalizzando" la gestione dei dati della carta di credito (CHD). Questo potrebbe renderti idoneo per la compilazione, ad esempio solo un SAQ-A che ha solo pochi controlli obbligatori per soddisfare i tuoi obblighi PCI.

Nel momento in cui il tuo sito esegue QUALSIASI elaborazione, archiviazione o trasmissione di CHD, i tuoi obblighi PCI aumentano. Ad esempio, potresti ora dover compilare un SAQ-D. SAQ-D ha molti più controlli obbligatori che devono essere rispettati.

Se il tuo sito cresce abbastanza e hai una recensione di QSA o Aquirer, non riuscirai a convincere nessuno che il tuo sito non memorizza, elabora o trasmette informazioni sensibili. Se vuoi continuare a creare il tuo sito, rivedi le varie opzioni di SAQ per vedere quali controlli devi considerare nel tuo progetto.