HTML 5 postMessage compatible con PCI

Depende, la clave de esto es garantizar que los datos de la tarjeta no se almacenen en ningún mecanismo inseguro (o generalmente legible). Proveedores como stripe.com, recurly.com y otros han usado JSON-P u otras tecnologías de publicación segura combinadas con tokens de una sola vez para representar la transacción para evitar que los comerciantes procesen los datos reales de la tarjeta. Estos trabajos son muy similares al método que describe & Permite que la zona para la App-A se clasifique como un nivel requerido de cumplimiento más bajo. Para ello, una publicación de los datos de la tarjeta en App-B sin almacenar o procesar en App-A no debería ser un problema.

Sin embargo, asegúrese de que en App-B tenga un método sólido para validar el dominio de origen. La API postMessage en sí misma no es un final para permitir datos de origen cruzado.

En términos generales, el alcance de PCI es cualquier sistema que almacene, procese o transmita datos de titulares de tarjetas Y cualquier sistema que esté conectado a un sistema dentro del alcance.

Si hay comunicación entre App-A y App-B, entonces están conectados (al menos en el nivel de red).

Hay ciertas circunstancias, limitadas, en las que se puede considerar que esta conexión de nivel de red no lleva al segundo sistema al alcance, pero esto debería discutirse con un QSA o con quienquiera que esté realizando la evaluación. Si se está autoevaluando, puede valer la pena consultar con un QSA para obtener algunos consejos: habrán visto muchas situaciones similares a las que usted describe y podrán ofrecer el consejo correcto.