Incorporamento di un modulo di iscrizione al servizio (tramite iframe) in una pagina di destinazione ospitata da terze parti - PCI DSS Complaince

Naviga le tue risposte
0

Abbiamo un'applicazione SaaS che richiede all'utente di inviare informazioni di pagamento al momento della registrazione. La quota di iscrizione è a carico mensile. E dobbiamo lamentarci di PCI DSS.

Ora stiamo pianificando di utilizzare una piattaforma di marketing, come ad esempio hubspot / salesforce marketing cloud, per ospitare le nostre pagine di destinazione e automatizzare i nostri sforzi di marketing sulla loro piattaforma. Volevamo incorporare il modulo di iscrizione in un iframe nella pagina di destinazione ospitata sulla loro piattaforma. Le pagine di destinazione avranno un'origine di dominio diversa (ad esempio, offerte.mysaas.com) dalla pagina del modulo di registrazione (ad esempio www.mysaas.com). offers.mysaas.com sarà solo autorizzato a rendere il modulo di iscrizione tramite X-Frame-Options: ALLOW-FROM

Per poter sporgere denuncia con PCI DSS, anche il servizio di hosting della pagina di destinazione di terze parti deve essere un reclamo PCI DSS? In caso contrario, c'è qualche esigenza che il servizio di terzi debba soddisfare?

Grazie

    
posta Stayman Hou 11.08.2016 - 20:51
fonte

1 risposta

2

In order to be complaint with PCI DSS, does the 3rd party landing page hosting service also have to be PCI DSS complaint?

Sì.

Se stai parlando di inviare i tuoi clienti per iscriversi tramite un iframe, probabilmente stai sperando di gestire la tua conformità PCI sotto SAQ A . La parte 2f chiede:

Does your company share cardholder data with any third-party service providers (for example, gateways, payment processors, payment service providers (PSP), web-hosting companies, airline booking agents, loyalty program agents, etc.)?

e dopo averli elencati, ti ricorda:

Note: Requirement 12.8 applies to all entities in this list.

che, tra gli altri requisiti, richiede:

12.8.4 - Is a program maintained to monitor service providers’ PCI DSS compliance status at least annually?

Qualcuno come Salesforce è, in effetti, un fornitore di servizi conforme allo standard PCI, che si riflette nel registro globale dei fornitori di servizi Visa . I Salesforce stessi hanno una risposta nella loro knowledge base che rende più facile per i loro clienti ottenere gli attestati di cui hanno bisogno.

    
risposta data 11.08.2016 - 22:01
fonte

Leggi altre domande sui tag

Tutti gli utenti locali con lo stesso nome utente hanno lo stesso UID in tutte le macchine di un'organizzazione? Come impostare la connessione tcp inversa quando si esegue pentesting in VM?