Блог

Главная - Вопросы по программированию - Соответствие PCI — требуется ли SSL в сценарии прозрачного перенаправления?

Соответствие PCI — требуется ли SSL в сценарии прозрачного перенаправления?

#html #pci-compliance

#HTML #соответствие pci

Вопрос:

Мы собираемся использовать какой-нибудь платежный сервис, у которого есть защищенная ссылка, по которой будут размещены данные платежной формы (напримерhttps://some-payment-gateway/securelink/sslpmt ) Наша форма будет содержать все поля, необходимые для совершения платежа: 1. Информация о клиенте 2. Платежная информация 3. Информация о кредитной карте также должна быть размещена на защищенном сайте? Как мы понимаем, даже если наш сайт небезопасен, например:http://our-site/orderform.html Если он содержит:

<метод формы=»post» action=»https://some-payment-gateway/securelink/sslpmt «> … </form>

Поля формы будут передаваться по защищенному соединению, и никакие данные не будут скомпрометированы. Мы истинны или ложны?

Ответ №1:

Боюсь, что это неверно.

Если вы размещаете страницу, которая принимает данные карты, то эта страница, компьютер, на котором она запущена, и сеть, к которой подключен компьютер, должны соответствовать стандарту PCI. (Что, если кто-то скомпрометировал orderform.html и перенаправил собранные данные в другое место)

Если вы посмотрите, есть большая вероятность, что ваш some-payment-gateway Inc предлагает возможность перенаправлять пользователей на страницы, которые они размещают на своих уровнях, для сбора данных карты — это почти всегда разумный выбор, поскольку он снимает с вас основную часть обязательств по соблюдению.

Обновите Braintree API, я погуглил их и увидел:

«Наш API прозрачного перенаправления полностью исключает обработку данных кредитной карты из вашей среды… Прозрачное перенаправление — это не решение для размещенной страницы; оно полностью прозрачно для конечного пользователя»

Что кажется немного парадоксальным, похоже, что они ожидают, что вы будете собирать данные карты на своем сайте — поэтому вам нужно соответствовать требованиям, что они подтверждают здесь.

С их стороны было очень мило «Загрузить предварительно заполненный SAQ версии 2.0 и убедиться, что он соответствует бизнес-практике.» ссылка и рекомендация QSA, которыми вы можете воспользоваться — но я бы отметил, что подписание документа SAQ является юридически обязательным, как и любой контракт; если ваша система взломана и имеет место мошенничество, это может стоить вам очень дорого.

Комментарии:

1. Хммм… Тогда как насчет Braintree и их прозрачного перенаправления?

2. @alex-k, спасибо за ваше объяснение. Я согласен с вами в этом.