Usando un CDN para reducir el alcance de PCI DSS

Navega tus respuestas
3

Un escenario común para los tipos de transacciones de tarjetas de crédito de comercio electrónico es un sitio web con una conexión a un procesador de pagos de terceros. Por varias razones, es posible que no desee utilizar un iFrame o un redireccionamiento de páginas, pero al hacerlo se abre significativamente su alcance de PCI. Suponiendo que los datos del titular de la tarjeta nunca se enviarían a sus servidores, me gustaría saber si el uso de un CDN de terceros compatible con PCI (por ejemplo, AWS CloudFront) reduciría significativamente el alcance de PCI con respecto a la infraestructura.

Toma este ejemplo; el sitio web de un comerciante consta de un archivo html que contiene un formulario para recopilar la información de un cliente y los detalles de su tarjeta de crédito. Cuando el cliente haya completado los detalles y presionado enviar, los datos de la tarjeta de crédito se enviarán a los procesadores de terceros directamente desde el navegador a través de un POST ajax, y recibe un token a cambio. El token y otros datos se envían al servidor del comerciante, por supuesto, excluyendo los datos del titular de la tarjeta.

Suponiendo que el sitio web es el único en el sistema de alcance, parecería que muchos de los requisitos de PCI ya no se aplicarían. Estaría segmentado por defecto, el proveedor de CDN se encargaría del antivirus e IDS / IPS, no puede SSH en él, no hay servicios internos como SMTP, la configuración del firewall se reduciría o eliminaría en gran medida (ya que puede haber solo un puerto de entrada y salida) ... estoy seguro de que hay más.

Por supuesto, todavía necesitaría asegurarse de que el código esté escrito de manera segura, realizar una prueba de penetración y hay muchos otros requisitos que aún se aplican, pero a primera vista, esto parece una solución muy segura, como un sellado. Caja, que podría reducir considerablemente el alcance.

Preguntas:

  • Para el ejemplo anterior, ¿cuál será el alcance? ¿Sólo la distribución de CDN? ¿El origen? ¿El equipo de desarrollo utilizado para subir el archivo html?
  • ¿Será un problema si no puede monitorear / registrar el tráfico de bajo nivel usted mismo? Supongo que el CDN será responsable de eso.

Ediciones: Cambié la pregunta de iFrames al uso de una API, ya que parece más útil, ya que a menudo el uso de un iFrame reducirá a un comerciante a SAQ A a menos que sea un proveedor de servicios.

    
pregunta Richard 14.11.2015 - 01:54
fuente

1 respuesta

3

Sí, mover el manejo de los datos del titular de la tarjeta (CHD) de su red a terceros compatibles con PCI es una manera excelente de reducir el alcance de PCI de su implementación. Tener la página de pago alojada con un tercero compatible con PCI, e integrar la transmisión de CHD a un proveedor de servicios de almacenamiento seguro y tokenización de terceros compatible con PCI, reduce considerablemente su alcance de PCI.

Tenga en cuenta que están aún transmitiendo CHD desde este sitio. Entonces, si bien esta implementación reduciría su alcance, el código de integración todavía estaría en . Aún debe protegerse contra los scripts de sitios cruzados (XSS), los ataques de redireccionamiento desde la página de pago al sitio de terceros, etc. Recomendaría realizar exploraciones PCI trimestrales con un proveedor de escaneo aprobado aquí.

Sin embargo, no creo que usar un CDN para lograrlo sea lo ideal. Si bien una CDN podría funcionar, parece ser la tecnología adecuada para este tipo de implementación. El servidor de origen se podría considerar dentro del alcance, haciendo de su propio cumplimiento de PCI un problema y complicando la implementación.

Dado que el requisito es trabajar solo con terceros compatibles con PCI para las páginas de pago, sugeriría usar un proveedor de servicios compatible con PCI para alojamiento, como GoDaddy Quick Cart, por ejemplo. Con este servicio, puede obtener el cumplimiento del nivel 1 de PCI por $ 9.99 al mes, y puede personalizar la página de pago para manejar el CHD, y establecer una interfaz con el proveedor de tokenización. Creo que tendrá más flexibilidad con este tipo de servicio alojado y aún reducirá el alcance de su PCI.

    
respondido por el Rodrigo M 17.11.2015 - 16:50
fuente

Lea otras preguntas en las etiquetas

Seguimiento de identidad de Bluetooth / WiFi en espacios públicos - ¿Cómo descubrirlo? ¿Qué parte de una aplicación de Django podría tener ingeniería inversa si el propietario se olvidó de desactivar el modo de depuración?