Supongamos que tengo un sitio web de comercio electrónico, alojado en Azure (o AWS). Usaré una pasarela de pago de terceros que esté totalmente certificada como PCI nivel 1. Toda la comunicación se realiza con TLS 1.1 o superior.
Escenario A : durante el proceso de pago, se presenta una página que solicita al usuario sus detalles, incluida la tarjeta de crédito. Este formulario de navegador se sirve desde el servidor mi en Azure. Cuando el usuario presiona PAGAR, mediante JavaScript enviamos los detalles de la tarjeta a la puerta de enlace de terceros para procesar el pago y esperar la respuesta. En ningún momento se envían los datos de la tarjeta de crédito a mi servidor en Azure.
Escenario B : en lugar de entregar un formulario de tarjeta de crédito desde mi sitio, en su lugar usamos la página de pago alojada de la puerta de enlace de terceros. Eso significa que hacemos una redirección al sitio de la puerta de enlace, donde el usuario ingresa los detalles de la tarjeta, y luego el navegador redirige a mi página de pago completo.
Escenario C : una especie de híbrido, mostramos la página de pago alojada desde la puerta de enlace en un iframe dentro de una página servida desde mi servidor en Azure.
Preguntas:
-
En estos tres escenarios, ¿hay una diferencia en el alcance de PCI para el servidor que se ejecuta en Azure? ¿Cuál es el alcance? ¿Nuestra infraestructura de Azure necesita someterse a una auditoría anual?
-
Hace una diferencia si Yo soy un comerciante (así que la puerta de enlace de terceros está usando mi cuenta de comerciante en mi nombre) frente a una puerta de enlace que procesa transacciones con su propia cuenta de comerciante y luego me reembolsa más tarde.
Me llevan a creer que hay una diferencia en el alcance de PCI entre estos escenarios, pero realmente no puedo ver por qué. Si el servidor de Azure está comprometido, un atacante podría servir páginas maliciosas y capturar la tarjeta del usuario, independientemente del enfoque que se utilice.
Veo sitios de comercio electrónico utilizando el escenario A todo el tiempo, pero estoy bastante seguro de que muy pocos de ellos se ejecutan en entornos compatibles con PCI.