¿El sitio necesita SSL para reenviar información a un sitio que utiliza SSL?

Con respecto a los datos de pago, debe comprender que hay respuestas centradas en la seguridad y respuestas centradas en el cumplimiento.

En resumen, depende. Claro, puede publicar / redirigir a los usuarios a un sitio HTTPS desde un sitio HTTP, pero si dicho método es aceptable depende del tipo de comerciante que sea. Además, si ese método es "seguro" se vuelve menos relevante cuando se tienen en cuenta los mandatos de cumplimiento de PCI. La pregunta entonces es si el método cumple con los requisitos y si desea cumplir con los mandatos mínimos de cumplimiento o si desea implementar más controles para aumentar la postura de seguridad / reducir el riesgo. Y si algo es compatible depende de si tienes algo que decir o no. Esto depende de la cantidad de transacciones de tarjeta de crédito que procesa por año.

Digamos que usted es un comerciante (usaré "usted" de manera intercambiable) con su propio número de identificación de comerciante. Usted acepta pagos con tarjeta de crédito pero ha optado por externalizar el sistema de pago. El comerciante, usted, todavía es responsable de mantener el cumplimiento de PCI . Si su banco adquirente le solicita que envíe un Cuestionario de autoevaluación , debe completar el formulario o arriesgarse a pagar una mayor. cargo por transacción, multas, ambos, o el riesgo de perder su capacidad para procesar datos de la tarjeta. Si procesa un montón de transacciones con tarjeta de crédito: más de 6 millones de visas o 6 millones de tarjetas MasterCard o 2,5 millones de dólares por año, estará sujeto a requisitos de auditoría más estrictos, incluida una auditoría anual por parte de un Asesor de seguridad calificado y certificado por PCI externo ( QSA).

Si no procesa muchas transacciones con tarjeta de crédito, no necesita ser auditado por un QSA. Usted puede simplemente enviar un SAQ. En cuyo caso, el comerciante y la gerencia aseveran cumplir con los Estándares de Seguridad de Datos PCI. Sin embargo, si cae en una clase que requiere una auditoría anual, entonces una pregunta como si puede hacer una publicación de HTTPS desde un formulario sin garantía y cómo implementar la redirección será evaluada como aprobada / no aprobada por el QSA.

Como comenta ewanm89, el uso de una página de texto sin formato para redirigir a los usuarios a una pasarela de pago segura está sujeto a un ataque MITM. Cualquier persona con una configuración inteligente puede cambiar fácilmente el destino de processpayment.com a givemeyourcardnumber.com. El atacante inteligente puede incluso implementar un certificado SSL de una CA pública para que el usuario no tenga ventanas emergentes.

Al final, es probable que sea mejor averiguar si está sujeto a los mandatos de cumplimiento y, de ser así, preguntar si dicho método cumple o no (la respuesta general es que depende, tiene que ser capaz de justificar El cómo y por qué). En segundo lugar, pregúntese si está dispuesto a aceptar el riesgo y si tiene sentido (o no tiene sentido) gastar los $$ extra para obtener un certificado SSL para cifrar más contenido (el cifrado también cuesta ciclos de CPU).

Es una respuesta larga, pero cuando se tienen en cuenta los datos de pago, la respuesta correcta, incluso para la pregunta más simple, puede resultar bastante complicada.

Sí, la página que representa el formulario debe usar SSL y el destino. Si la página del formulario no utiliza SSL, un atacante podrá manipularlo durante la transmisión.

• Él puede cambiar el objetivo.
• O más sigiloso: puede agregar algún JavaScript en algún lugar de esa página para enviar una copia de los datos a su servidor

No debe enseñar a las personas a ingresar información confidencial en páginas que no sean SSL