Pregunta relacionada con las ventanas del navegador cuando se integra con un software de pago de terceros

Navega tus respuestas
2

Me han dicho que cuando se integra con una pasarela de pago de terceros, la ventana del otro sitio web no debe abrirse en un iFrame o en una ventana separada; la ventana de la aplicación actual debería redirigirse a la pasarela de pago.

  1. ¿Dónde encontraré documentación que respalde esta reclamación?
  2. Una nueva página sería totalmente segura. Entonces, ¿hay alguna razón para que esta regla de reglas no sea para permitir que el sitio web continúe con la transacción?
pregunta Vivek Kodira 22.09.2014 - 19:36
fuente

2 respuestas

2

Estos no son requisitos de PCI.

Debe leer las Pautas de comercio electrónico de PCI DSS . La Sección 3.4 describe "Implementaciones comunes de comercio electrónico", tales como:

  1. API de terceros con publicación directa
  2. iFrame incrusta la página de pago de terceros en el sitio de Merchant
  3. Redirección a la página de pago de terceros

y, para citar,

  

Estos ejemplos pretenden ser representativos de solo algunos de los   Las implementaciones básicas más comúnmente encontradas. De ninguna manera se significan   para cubrir la amplia gama de implementaciones, componentes de hardware, software   aplicaciones, y modelos de hosting / servicios que puedan existir.

El número 3 es lo que su contacto le ha dicho que debe hacer . Son incorrectos si afirman que PCI requiere que te limites a eso, obviamente. Probablemente quieren decir que eso es lo que admiten ellos y usted debería hacerlo y agitarse en torno a PCI es un efectivo matón.

Como regla general, cualquier socio comercial que le diga que debe hacer algo debido a la PCI debe poder citarle la línea y el verso. Enumere qué artículo del PCI DSS o SAQ que consideran que está en peligro de violar. Eso le da la información que necesita para resolver el problema. Un socio de negocios que dice "PCI dice" pero no puede o no quiere decir dónde está habitualmente confundido / a.

(A veces hay que buscarlo; a menudo las políticas las determinan las personas que no tratan con los clientes, pero el personal de soporte y de administración de cuentas las propaga, que no saben qué es lo que impulsa los requisitos. Pero siempre debe ser capaz de pedir una respuesta en algún lugar de la cadena).

    
respondido por el gowenfawr 23.09.2014 - 13:39
fuente
2

Al abrir una nueva ventana o iframe no se modifican las protecciones proporcionadas por la Política del mismo origen . Las origin heredan las reglas de hielo para iframes evita que dos dominios diferentes accedan a los datos de los demás.

No hay ningún requisito de seguridad o PCI-DSS que requiera una redirección desde / hacia una pasarela de pago. Esto puede ser un requisito de usabilidad exigido por una pasarela de pago específica.

    
respondido por el rook 22.09.2014 - 20:26
fuente

Lea otras preguntas en las etiquetas

Configurar un sitio web rápido vulnerable a la falla de Shellshock bash ¿Qué métodos confiables están disponibles para rastrear la fuente de un ataque de envenenamiento ARP?