Conformità PCI: acquisizione della carta di credito, chiamata ajax per salvare l'indirizzo, quindi registrazione del fornitore di pagamento

0

Dì sulla pagina di pagamento di un sito di e-commerce, se l'utente immette l'indirizzo di consegna, i dettagli di pagamento (dettagli della carta di credito) e fa clic sul pulsante Invia - e se

  1. viene effettuata una richiesta di posta elettronica sul sito di e-commerce ospitato (per aggiornare l'indirizzo di consegna - si noti che i dati della carta di credito non vengono inviati)
  2. e in caso di successo della risposta ajax, il modulo della carta di credito viene inviato (http POST) al provider di pagamento

l'esecuzione dell'ajax nel passaggio 1 rende il sito non conforme PCI?

    
posta user1339772 10.11.2016 - 07:41
fonte

1 risposta

1

Prima di tutto, non sono un QSA.

Detto questo, perché stai accettando le informazioni della carta di credito direttamente sul tuo sito (anche se non lo invii al tuo server), devi compilare SAQ A-EP . Tra le cose che certifichi con questo SAQ:

  • All processing of cardholder data is outsourced to a PCI DSS validated third-party payment processor
  • Your e-commerce website does not receive cardholder data but controls how consumers, or their cardholder data, are redirected to a PCI DSS validated third-party payment processor
  • Your company does not electronically store, process, or transmit any cardholder data on your systems or premises, but relies entirely on a third party(s) to handle all these functions

Nota che i "dati dei titolari di carta" non includono l'indirizzo di fatturazione, anche se si tratta di dati relativi al titolare della carta. In questo contesto, significa :

At a minimum, cardholder data consists of the full PAN. Cardholder data may also appear in the form of the full PAN plus any of the following: cardholder name, expiration date and/or service code.

Quindi non c'è alcun problema con la pubblicazione dell'indirizzo sul tuo sito, a condizione che le informazioni della carta non lo accompagnino.

    
risposta data 10.11.2016 - 14:48
fonte

Leggi altre domande sui tag