Un escenario común para los tipos de transacciones de tarjetas de crédito de comercio electrónico es un sitio web con una conexión a un procesador de pagos de terceros. Por varias razones, es posible que no desee utilizar un iFrame o un redireccionamiento de páginas, pero al hacerlo se abre significativamente su alcance de PCI. Suponiendo que los datos del titular de la tarjeta nunca se enviarían a sus servidores, me gustaría saber si el uso de un CDN de terceros compatible con PCI (por ejemplo, AWS CloudFront) reduciría significativamente el alcance de PCI con respecto a la infraestructura.
Toma este ejemplo; el sitio web de un comerciante consta de un archivo html que contiene un formulario para recopilar la información de un cliente y los detalles de su tarjeta de crédito. Cuando el cliente haya completado los detalles y presionado enviar, los datos de la tarjeta de crédito se enviarán a los procesadores de terceros directamente desde el navegador a través de un POST ajax, y recibe un token a cambio. El token y otros datos se envían al servidor del comerciante, por supuesto, excluyendo los datos del titular de la tarjeta.
Suponiendo que el sitio web es el único en el sistema de alcance, parecería que muchos de los requisitos de PCI ya no se aplicarían. Estaría segmentado por defecto, el proveedor de CDN se encargaría del antivirus e IDS / IPS, no puede SSH en él, no hay servicios internos como SMTP, la configuración del firewall se reduciría o eliminaría en gran medida (ya que puede haber solo un puerto de entrada y salida) ... estoy seguro de que hay más.
Por supuesto, todavía necesitaría asegurarse de que el código esté escrito de manera segura, realizar una prueba de penetración y hay muchos otros requisitos que aún se aplican, pero a primera vista, esto parece una solución muy segura, como un sellado. Caja, que podría reducir considerablemente el alcance.
Preguntas:
- Para el ejemplo anterior, ¿cuál será el alcance? ¿Sólo la distribución de CDN? ¿El origen? ¿El equipo de desarrollo utilizado para subir el archivo html?
- ¿Será un problema si no puede monitorear / registrar el tráfico de bajo nivel usted mismo? Supongo que el CDN será responsable de eso.
Ediciones: Cambié la pregunta de iFrames al uso de una API, ya que parece más útil, ya que a menudo el uso de un iFrame reducirá a un comerciante a SAQ A a menos que sea un proveedor de servicios.