En primer lugar, si un sitio es compatible con PCI y se agregan nuevas referencias a un archivo de terceros (por ejemplo, imagen, Javascript, CSS, etc.) a través de http: // en lugar de https: //, ¿viola el PCI? ¿Cumplimiento?
En segundo lugar, ¿agregar una referencia a una biblioteca js de terceros sobre https validará el cumplimiento de PCI?
Gracias
(IANAQSA)
El PCI DSS solo requiere cifrado para proteger los datos del titular de la tarjeta:
Use criptografía fuerte y protocolos de seguridad (por ejemplo, SSL / TLS, IPSEC, SSH, etc.) para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes públicas abiertas.
El contenido de la página incidental que no involucra datos del titular de la tarjeta no requiere ese nivel de protección. Por supuesto, si la verificación de su carrito (que debe estar asegurada ya que es donde se ingresan los datos de la tarjeta) incluye una imagen http: // no segura, la mayoría de los navegadores se quejarán, por lo que generalmente querrá asegurar incluso las imágenes y otros contenidos allí.
Si está utilizando una biblioteca js de terceros como una aplicación de pago, entonces el cumplimiento de PCI es un problema, probablemente solo asegurándose de que sea compatible con PA-DSS. Sin embargo, si está utilizando un js de terceros para hacer que su página se vea bonita y no maneja los datos de la tarjeta ni afecta de ninguna manera a los flujos de comunicación de datos de la tarjeta, no afectará el cumplimiento.
Actualizado para responder al comentario de @cchamberlain:
Yo creo que las bibliotecas de terceros como Angular caerían bajo DSS ( versión 3.1 citado aquí) sección 6.2:
6.2 Asegúrese de que todos los componentes del sistema y el software estén protegidos contra vulnerabilidades conocidas mediante la instalación de la seguridad suministrada por el proveedor correspondiente parches Instale parches críticos de seguridad dentro de un mes de lanzamiento.
Contraste esto con el "software a medida o personalizado desarrollado por un tercero" en la sección 6.3:
6.3 Desarrolle aplicaciones de software internas y externas (incluido el acceso administrativo basado en la web a las aplicaciones) de manera segura, de la siguiente manera:
- De acuerdo con PCI DSS (por ejemplo, autenticación segura y registro)
- Basado en estándares de la industria y / o mejores prácticas.
- Incorporación de la seguridad de la información en todo el desarrollo de software. ciclo de vida
Nota : esto se aplica a todo el software desarrollado internamente, así como también a la medida o software personalizado desarrollado por un tercero.
Entonces, si se trata de un producto de software para distribución general, se asume que no es malicioso y usted debe mantenerlo actualizado y reaccionar ante los avisos de seguridad. Pero si alguien desarrolla un código personalizado para ti, debes tratarlo con niveles de escrutinio equivalentes a tu propio código.
Creo que esto se reduce a "confiar en que los propietarios de la biblioteca no tienen mala intención" para algo como Angular. Sigues siendo responsable si hacen algo inapropiado, por supuesto.
El uso de imágenes no protegidas en páginas que exigen datos del titular de la tarjeta puede o (más a menudo) no poner en peligro los datos del titular, pero debe esperar una objeción de la Guía para el requisito 4.1:
En general, la URL de la página web debe comenzar con "HTTPS" y / o el navegador web debe mostrar una Icono de candado en algún lugar de la ventana del navegador.
Si la IU de advertencia de contenido mixto rompe la letra de esta guía depende del navegador en cuestión, pero ciertamente está en contra del espíritu.
El hecho de que JavaScript esté alojado en HTTP para cualquier página del sitio también es realmente peligroso, ya que permitiría a un atacante MitM cruzar el script del sitio en la página de pago. Lo mismo ocurre con CSS, ya que en algunos navegadores hay extensiones que permiten que los scripts activos se incluyan en los estilos.
Tener scripts / hojas de estilo alojados externamente se incluiría en "Uso de proveedores de servicios de terceros". Hay proveedores de alojamiento que mantienen la certificación PCI para este propósito; Deben evitarse los espejos de uso general. Rara vez vale la pena el riesgo de poner a un tercero en contacto con los datos de sus titulares de tarjetas (que posiblemente sea cualquier JS en su sitio) solo para evitar unas pocas K de tráfico de alojamiento estático.
Lea otras preguntas en las etiquetas pci-dss