如果我有一个Web应用程序并且我通过HTTPS通过Web浏览器接收通过POST请求传输的信用卡数据,并立即打开套接字(SSL)到远程PCI编辑卡处理器以转发数据并等待响应我被允许这样做吗?或者这是否与我的申请一起接收数据并转发它已经处理“处理信用卡数据”?
如果我创建一个在客户端浏览器中显示的iframe以输入cc数据,并且此iframe通过HTTPS将数据发布到远程卡处理器(直接!)这已经是处理信用卡数据的情况了吗?即使我的应用程序代码“没有触及”任何事件处理程序输入的数据?
我对“信用卡数据处理”的定义感兴趣。什么时候开始成为cc数据处理应用程序?有人可能会指出我在PCI-DSS标准中明确定义何时开始“成为处理应用程序”的那一部分?
谢谢,
答案 0 :(得分:4)
即使您自己没有做任何事情,也会传输数据。因此,您确实属于PCI合规性规则。
PCI DSS v.2.1,第5页,根据PCI DSS适用性信息:
例如,PCI DSS第4.1节要求在通过公共/开放网络进行传输时进行加密,您已在两端使用SSL和HTTPS进行传输。如果存储,处理或传输主帐号(PAN),则PCI DSS要求适用。如果没有存储,处理PAN, 或传输,PCI DSS要求不适用。
但不仅仅是关于直接处理卡数据的要求。还有用户认证控制,例如PCI DSS第8.x节,特别是对于有权访问持卡人数据或管理功能的用户。
虽然您可以忽略部分,因为您不存储卡数据,但还有其他部分涉及网络安全,防火墙,防病毒,访问控制,监控和跟踪,测试等等。
答案 1 :(得分:4)
这是一个很好的问题,我很想听到一些权威的答案 - 要么是直接代表PCI-DSS的人,要么是至少一个可以访问PCI成员的QSA。
我的非权威性答案是托管iframe的网络服务器将在PCI范围内,您将被归类为服务提供商。这是基于我对PCI标准的解释,其中glossary表示:
服务提供商非支付卡品牌的商业实体 会员或商家直接 参与处理,储存, 传输,切换或 交易数据和持卡人 信息或两者(* 1)。这也是 包括提供的公司 为商家提供服务,服务 控制或控制的提供者或成员 可能影响安全 持卡人数据(* 2)。例子包括 托管服务提供商 提供托管防火墙,IDS和 其他服务以及托管 提供者和其他实体。 电信等实体 只提供的公司 无法访问的通信链接 应用层 通信链接被排除在外(* 3)
* 1。您显然不是支付卡品牌(例如Visa),您也不是商家(您向其提供此服务)
* 2。这显然是你的角色,因为提供服务
* 3。遗憾的是,我不认为您符合此排除规则,因为您可以访问应用程序层数据。
好消息是,您采取的方法可能是您可以做的最好的办法,以尽量减少您的头痛。
理想情况下,您可以对此服务器进行分段,以便更广泛地限制对更广泛(内部)网络的访问。确保Web服务器提供的唯一“应用程序”是此iframe(即,不要从服务器运行任何其他网页)。确保server / iframe / etc生成的日志记录不包含任何与卡相关的数据
不幸的是,我相信它确实意味着需要参与QSA,因为您正在处理网络交易。
答案 2 :(得分:2)
像黑客一样思考 - 如果黑客获得了对您网站/服务器的访问权限,他们是否会以iframe进入恶意支付网关的方式篡改它。有QSA(PCI审核员)坚持认为这是在范围内,围绕网站(开发,支持,测试,操作)的一切都需要以PCI兼容的方式进行。
答案 3 :(得分:0)
简单 - 如果CC#在您的服务器上任何地方,甚至只是内存,那么您正在处理它并遵守这些PCI要求。