ReverseProxy e conformità PCI

Question

ReverseProxy e conformità PCI

#1 da (1 voti)

1

La mia azienda ha un gateway di fatturazione conforme allo standard PCI e espongono un servizio per l'invio dei dettagli del pagamento con carta di credito.

Sto scrivendo un sito web (Applicazione Pagina singola / end-to-end javascript) per loro che si trova su un dominio diverso da questo gateway di fatturazione, quindi chiamare questo servizio da javascript nel client (browser) viola la stessa origine politica.

In passato, ho utilizzato i proxy per aggirare i problemi relativi alle stesse origini. Mi piacerebbe fare qualcosa di simile in questa situazione. Tuttavia, non ho accesso alla rete interna attendibile su cui risiede il gateway di fatturazione conforme PCI, quindi non posso mettere il mio server proxy lì.

Esiste un proxy inverso che fa SSL su entrambi i lati? O come farei per impostare una soluzione proxy conforme PCI?

proxy tls pci-dss same-origin-policy

posta Gus 27.09.2013 - 00:04

fonte

1 risposta

Leggi altre domande sui tag proxy tls pci-dss same-origin-policy

Qual è lo scopo di Rb nella 3a fase dell'autenticazione reciproca a 3 passaggi in ISO / IES 9798-2? Imposta il gateway per la nostra LAN

score 1 · Accepted Answer

Vedo due problemi. In primo luogo, se il javascript gestisce i dettagli della carta di credito, il server che fornisce il javascript deve essere conforme allo standard PCI-DSS. In secondo luogo, qualsiasi proxy inverso che astrae / fonda i domini sottostanti deve essere compatibile con PCI-DSS, altrimenti un utente malintenzionato può semplicemente sovvertire il proxy per puntare altrove.

Quindi un proxy conforme PCI sarebbe il modo migliore per andare. Vedi 'Come un proxy inverso può aiutarti a raggiungere la conformità normativa' sezione di questo articolo . O ancora meglio, leggi questo articolo sull'ottimizzazione dell'ambiente PCI conforme .

Il principio di base è lo stesso di qualsiasi proxy per PCI-DSS: proteggi il proxy, proteggi la rete e proteggi tutti i server di applicazioni e database. Poiché questo elenco di server e risorse può crescere abbastanza rapidamente, l'approccio consigliato è quello di avere solo un utente < - > relazione / percorso aziendale per il trasferimento dei dettagli della carta di credito. La tua nuova applicazione crea un'altra relazione / percorso, quindi il lavoro extra.