Si hospedo un formulario web que envía los datos de CC a un proveedor, ¿hay host de formulario de implicaciones de PCI?

Navega tus respuestas
3

Me pregunto si alguien tiene alguna opinión sobre una pregunta específica que tengo. Leí mucho sobre los sistemas que 'almacenan, procesan, envían' datos de CC que requieren cumplimiento.

Si alojo un formulario en mi sitio web que toma los datos de CC y los publica en un proveedor de CC, ¿hay implicaciones de PCI en mi sistema (aunque los datos de CC no llegan a mi servidor?). Los datos en sí no se almacenan en mi sistema. Se transmite entre el navegador y el proveedor del cliente, mi sistema no participa. Mi sistema solo envía el formulario al navegador de los clientes y proporciona el código de publicación.

Me interesaría escuchar cualquier opinión o experiencia sobre esto si tiene alguna.

Gracias de antemano.

    
pregunta siro 09.11.2012 - 12:16
fuente

3 respuestas

4

¿Cómo estás manejando los detalles del cc? Me temo que el cumplimiento de PCI es mucho más que https,

Solíamos alojar un formulario directamente y pasar la información a la empresa procesadora dentro de un script, ni siquiera almacenarlo como variables de sesión. Esa fue una razón suficiente para que nuestro banco aumentara nuestros requisitos de PCI, ya que manejábamos los detalles de cc directamente. Si imagina que alguien puso un código poco fiable en nuestro servidor, podría hacer lo que quisiera con los detalles de la tarjeta de crédito.

Ahora usamos un iframe incorporado de nuestra compañía de procesamiento de tarjetas dentro de la página web. No se ve tan bien, pero nunca vemos los detalles de cc, por lo que nuestra carga de cumplimiento de PCI se reduce considerablemente. No importa qué código esté en nuestro servidor ahora, no se puede acceder a los detalles de la tarjeta de crédito.

Un buen punto de partida sería enlace , elija su ubicación y luego vaya desde allí.

    
respondido por el Kevin Jones 09.11.2012 - 13:23
fuente
0

Depende. Si el formulario se publica directamente en el proveedor, no es necesario que haga nada como parte de PCI-DSS. Si el formulario se publica en su servidor, que luego envía los detalles al servidor de pagos, está regulado por PCI-DSS porque está manejando los detalles.

Independientemente, debe asegurarse de que la página que contiene el formulario se envíe a través de HTTPS, preferiblemente con HSTS habilitado. También debe obtener al menos esa página revisada por un comprobador de seguridad de aplicaciones web competente.

    
respondido por el Polynomial 09.11.2012 - 12:37
fuente
0

Parte de la respuesta anterior en el comentario anterior es incorrecta, incluso si se envía directamente al proveedor y sus servidores nunca ven un número de tarjeta de crédito o CVV durante un solo milisegundo, de hecho se le exime del cumplimiento significativo de PCI, pero todavía tienen un importante cumplimiento sobrante. ¿Está almacenando cosas como el nombre de un cliente, correo electrónico, dirección de envío? ¿Qué sucede si sus sistemas se comprometen lo suficiente como para revelar una lista de las direcciones de correo electrónico de sus clientes? Luego, el pirata informático envía un correo electrónico a todos sus clientes diciendo falsamente que la información de su tarjeta de crédito se ha comprometido. Confíe en mí, las compañías de tarjetas lo auditarán sobre esto, una auditoría forense, tendrá que probar que los detalles de la tarjeta NO han sido comprometidos. Un supuesto de "culpa" siempre se aplica en casos como este.

    
respondido por el Ron Robinson 09.11.2012 - 21:58
fuente

Lea otras preguntas en las etiquetas

Autenticación VPN a través de WiFi - ¿Es seguro? Problemas de seguridad en una aplicación web Dotnet