¿Cómo se aplica SAQ A-EP en una situación en la que no se utilizan marcos I?

1

Estoy realmente decepcionado con SAQ A-EP. Siento que como desarrollador web, hay demasiadas preguntas que pasan por alto mi cabeza y que posiblemente no pueda saber.

Utilizo principalmente Stripe y Braintree en mis soluciones de comercio electrónico. Por lo tanto, hay este artículo de interés:

enlace

Afirman que son totalmente compatibles con SAQ A. Stripe.js funciona al tomar datos de la tarjeta de crédito y pasarlos (a través de Javascript) directamente a los servidores de Stripe, donde los datos se tokenizan y se devuelven al comerciante. Stripe dice que esto hace que un comerciante sea elegible para SAQ A, sin embargo, SAQ A dice:

  

La totalidad de todas las páginas de pago enviadas al navegador del consumidor   se origina directamente desde un servicio validado por PCI DSS de terceros   proveedor (es).

Además, este artículo afirma:

SAQ A :

  

El sitio web del comerciante proporciona un iframe o URL que redirige a un consumidor a un procesador de pagos de terceros compatible con PCI, donde no se originan elementos de la página del sitio web del comerciante.

SAQ A-EP :

  

El sitio web del comerciante proporciona un iframe o URL que redirige a un consumidor a un procesador de pagos de terceros compatible con PCI, PERO algunos elementos de la página de pago se originan en el sitio web del comerciante. (Los elementos serían JavaScript, CSS o cualquier funcionalidad que admita la forma en que se crea la página de pago).

Para mí, suena como que Stripe aún pone a las personas en SAQ A-EP. O bien, el PCI es poco claro, porque tanto SAQ A como SAQ A-EP dicen que un iframe es aceptable.

Pero a pesar de eso, Stripe.js no usa iframes en absoluto, por lo que me parece que no hace que uno sea elegible para SAQ A.

¿Pensamientos?

EDITAR:

Mi error. Después de profundizar en el código Stripe.js, puedo ver que está creando dinámicamente un iframe. No estoy seguro de lo que está haciendo con eso, pero estoy seguro de que están realizando una secuencia de pasos para cumplir con la norma SAQ A

    
pregunta CaptSaltyJack 11.02.2015 - 07:28
fuente

1 respuesta

7

La página a la que has vinculado arriba dice:

  

La nueva versión de Stripe.js cumple con estos criterios al realizar todo   Transmisión de datos confidenciales del titular de la tarjeta dentro de un iframe servido fuera   de un dominio de Stripe.com controlado por Stripe.

Así que Stripe usa iframes para que sus clientes sean elegibles para SAQ A en lugar de SAQ A-EP, siempre que use la nueva versión de stripe.js.

    
respondido por el Mike Scott 11.02.2015 - 07:46
fuente

Lea otras preguntas en las etiquetas