Chr*_*ris 9 credit-card pci-dss
如果我有一个Web应用程序,我收到通过HTTPS浏览器通过POST请求传输的信用卡数据,并立即打开套接字(SSL)到远程PCI编辑卡处理器转发数据并等待响应,我是允许这样做?或者这是否与我的应用程序接收数据并转发它已经处理"处理信用卡数据"?
如果我创建一个在客户端浏览器中显示的iframe来输入cc数据,并且这个iframe通过HTTPS将数据发布到远程卡处理器(直接!)这已经是处理信用卡数据的情况了吗?即使我的应用程序代码"没有触及"任何事件处理程序输入的数据?
我对"信用卡数据处理"的定义感兴趣.什么时候开始成为cc数据处理应用程序?有人可能会指出我在PCI-DSS标准中明确定义何时开始"成为处理应用程序"的那一部分?
谢谢,
即使您自己没有对数据执行任何操作,您也可以传输数据。因此,您确实符合 PCI 合规规则。
PCI DSS v .2.1,第 5 页,在 PCI DSS 适用性信息下:
如果存储、处理或传输主帐号 (PAN),则 PCI DSS 要求适用。如果未存储、处理或传输 PAN,则 PCI DSS 要求不适用。
例如,PCI DSS 第 4.1 节要求在通过公共/开放网络传输时进行加密,您已在两端使用 SSL 和 HTTPS 覆盖了这些网络。
但不仅仅涉及直接处理卡数据的要求。还有用户身份验证控制,例如 PCI DSS 第 8.x 节,特别是针对有权访问持卡人数据或管理功能的用户。
虽然有些部分可以忽略,因为您不存储卡数据,但还有其他部分涉及网络安全、防火墙、防病毒、访问控制、监控和跟踪、测试等。
这是一个很好的问题,我很想听到一些权威的答案——要么来自直接代表 PCI-DSS 的人,要么至少来自有权接触 PCI 成员的 QSA。
我的不权威答案是,托管 iframe 的 Web 服务器将在 PCI 范围内,并且您将被归类为服务提供商。这是基于我对 PCI 标准的解释,其中术语表指出:
服务提供商 非支付卡品牌成员或直接参与交易数据和持卡人信息或两者的处理、存储、传输和交换的商家的商业实体 (*1)。这还包括向控制或可能影响持卡人数据安全的商家、服务提供商或会员提供服务的公司 (*2)。示例包括提供托管防火墙、IDS 和其他服务的托管服务提供商以及托管提供商和其他实体。不包括电信公司等仅提供通信链路而无法访问通信链路的应用层的实体(*3)
*1. 您显然不是支付卡品牌(例如 Visa),也不是商家(您向其提供此服务)
*2。这很明显是您的角色,即提供服务
*3。不幸的是,我认为您不符合此排除条件,因为您可以访问应用程序层数据。
好消息是,您所采取的方法可能是减轻头痛的最佳方法。
理想情况下,您可以对该服务器进行分段,以便对更广泛(内部)网络的访问受到严格限制。确保网络服务器提供的唯一“应用程序”是此 iframe(即,不要从服务器运行任何其他网页)。确保服务器/iframe/等生成的日志记录不包含任何卡相关数据
不幸的是,我相信这确实意味着需要涉及 QSA,因为您正在处理网络交易。