Как определяется "обработка данных кредитной карты" (PCI)?
Если у меня есть веб-приложение, и я получаю данные кредитной карты, передаваемые через POST-запрос веб-браузером по протоколу HTTPS, и мгновенно открываю сокет (SSL) к удаленному процессору PCI compilant card для пересылки данных и ожидания ответа, могу ли я это сделать? или это получение данных с моей заявкой и пересылка их уже предмет "обработки данных кредитной карты"?
Если я создаю iframe, который отображается в клиентском браузере для ввода данных cc, и этот iframe отправляет данные по протоколу HTTPS на удаленный процессор карты (напрямую!) это уже случай обработки данных кредитной карты? даже если мой код приложения "не касается" введенных данных никакими обработчиками событий?
Меня интересует определение "обработка данных кредитной карты". когда он начинает быть приложением для обработки данных cc? может быть, кто-нибудь укажет мне на тот раздел в стандарте PCI-DSS, который четко определяет, когда вы начинаете "быть обрабатывающим приложением"?
Спасибо,
4 ответов:
Это хороший вопрос, и я хотел бы услышать несколько авторитетных ответов - либо от кого-то, кто непосредственно представляет PCI-DSS, либо, по крайней мере, QSA с доступом к членам PCI.
Мой несанкционированный ответ будет состоять в том, что веб-сервер, на котором размещается iframe, будет находиться в области действия PCI, и вы будете классифицированы как поставщик услуг. Это основано на моей интерпретации стандарта PCI, где глоссарий гласит:
Поставщик услуг хозяйствующий субъект, который это не бренд платежной карты член или торговец напрямую участвует в переработке, хранении, передача и переключение или данные о транзакции и держателе карты информации или обоих (*1). И это тоже включает компании, которые предоставляют услуги коммерсантам, услуги поставщики или члены, которые контролируют или может повлиять на безопасность данные держателя карты (*2). Примеры включают: управляемые поставщики услуг, которые предоставление управляемых брандмауэров, идентификаторов и другие услуги, а также хостинг поставщики и другие организации. Такие организации, как телекоммуникации компании, которые только предоставляют каналы связи без доступа к прикладной уровень программы линия связи исключается (*3)
*1. Вы явно не являетесь брендом платежной карты (например, Visa), а также не являетесь продавцом (которому вы предоставляете эту услугу)
Хорошая новость заключается в том, что выбранный вами подход, вероятно, является лучшим, что вы можете сделать, чтобы свести к минимуму ваши головные боли.
*2. Это довольно ясно ваша роль, как предоставление услуги
*3. К сожалению, я не думаю, что вы соответствуете этому исключению, как вы это сделали доступ к данным прикладного уровня.В идеале вы бы сегментировали этот сервер так, чтобы доступ к более широкой (внутренней) сети был очень ограничен. Убедитесь, что единственным "приложением", которое предоставляет веб-сервер, является этот iframe (т. е. не запускайте никакие другие веб-страницы с сервера). Убедитесь, что журнал, который генерирует сервер / iframe / etc, не содержит никаких связанных карт. данные
К сожалению, я считаю, что это означает, что QSA должен быть вовлечен, поскольку вы обрабатываете веб-транзакции.
Вы передаете данные, даже если сами ничего с ними не делаете. Таким образом, вы подпадаете под правила соответствия PCI.
PCI DSS v .2.1, стр. 5, в разделе Информация о применимости PCI DSS:
Требования PCI DSS применяются, если основной номер счета (PAN) хранится, обрабатывается или передается. Если кастрюля не хранится, обрабатывается, или передано, требования PCI DSS не применяются.
PCI DSS раздел 4.1, например, требует шифрования, когда передача по общедоступным / открытым сетям, которые вы покрыли SSL и HTTPS на обоих концах.
Но есть не только требования, касающиеся прямых операций с карточными данными. Есть также элементы управления аутентификацией пользователей, такие как в разделе PCI DSS 8.x, особенно для пользователей, имеющих доступ к данным о держателях карт или административным возможностям.
Хотя есть разделы, которые вы можете игнорировать, так как вы не храните данные карты, есть и другие разделы, которые имеют дело с такими вещами, как сеть безопасность, брандмауэры, антивирус, контроль доступа, мониторинг и отслеживание, тестирование и т. д.
Думайте как хакер-если хакер получил доступ к вашему сайту/серверу, могут ли они подделать его таким образом, что iframe переходит к вредоносному платежному шлюзу. Есть qsas (PCI auditors), которые будут настаивать на том, что это в рамках и все, что вращается вокруг веб-сайта (разработка, поддержка, тестирование, операции) должно быть проведено в соответствии с PCI.
Просто-если CC # находится где-либо на вашем сервере, даже просто в памяти, то вы обрабатываете его и подчиняетесь этим требованиям PCI.
Comments