Соответствие PCI - требуется ли SSL в сценарии прозрачного перенаправления?

Question

Соответствие PCI - требуется ли SSL в сценарии прозрачного перенаправления?

Мы собираемся использовать какой-либо платежный сервис, имеющий защищенную ссылку, где будут размещаться данные формы платежа (например, https://some-payment-gateway/securelink/sslpmt). Наша форма будет содержать все обязательные поля для оплаты сделать: 1. Информация для клиента 2. Информация для выставления счета 3. Информация для кредитной карты Должна ли наша форма быть размещена на безопасном сайте? Как мы понимаем, даже если наш сайт небезопасен, например: http://our-site/orderform.html Если он содержит:

1

html pci-compliance

Источник

user487697 09 май '11 в 10:07

1 ответ

Решение

Другие вопросы по тегам html pci-compliance

user246342 09 май '11 в 10:59 2011-05-09 10:59 · Accepted Answer · 2011-05-09 10:59

Ложно, я боюсь.

Если вы размещаете страницу, которая принимает данные карты, то эта страница, на которой она работает, и сеть, к которой она подключена, должна быть совместима с PCI. (Что, если кто-то скомпрометирует orderform.html и перенаправит собранные данные в другое место)

Если вы посмотрите, есть большая вероятность, что ваш some-payment-gateway Inc предлагает возможность перенаправить пользователей на страницы, на которых они размещены, для сбора сведений о карте - это почти всегда разумный выбор, поскольку он устраняет основную часть обязательств по обеспечению соответствия. вы.

По поводу Braintree API я их погуглил и увидел:

"Наш API прозрачного перенаправления полностью исключает обработку и обработку данных кредитных карт из вашей среды... Прозрачное перенаправление не является размещенным на странице решением; оно полностью прозрачно для конечного пользователя"

Что кажется немного парадоксальным, похоже, что они действительно ожидают, что вы соберете данные карты на своем сайте - поэтому вы должны соблюдать требования, которые они подтверждают здесь.

Очень приятно, что у них есть ссылка " Загрузите предварительно заполненную версию SAQ A 2.0 и убедитесь, что она соответствует бизнес-практикам ", и рекомендацию QSA, которой вы можете воспользоваться, но я хотел бы отметить, что подписание на SAQ документ имеет обязательную юридическую силу, как и любой контракт; если ваша система взломана и есть мошенничество, это может стоить вам очень дорого.