¿Está tomando la información de CC en elementos HTML sencillos, pero está utilizando una biblioteca como Stripe para tokenizar PCI?

Question

¿Está tomando la información de CC en elementos HTML sencillos, pero está utilizando una biblioteca como Stripe para tokenizar PCI?

#1 de withoutfire (1 votos)
#2 de Joe (1 votos)

1

Estoy construyendo un sitio que aceptará pagos. Estaré procesando pagos con Stripe o Square. Stripe ahora tiene elementos Stripe y Square tiene forma de pago Square. He probado el formulario de pago cuadrado, pero es difícil de personalizar y las cargas son muy lentas. Y me gustaría tener un control sencillo sobre el aspecto del formulario.

Mi pregunta es, si tomo la información de la tarjeta en los campos de entrada regulares pero no la almaceno y en su lugar la envio inmediatamente a Stripe / Square a través de sus bibliotecas al momento de enviarla, ¿sigue siendo seguro / compatible con PCI? / p>

credit-card javascript pci-dss e-commerce

pregunta pcinewb 19.12.2018 - 20:07

fuente

2 respuestas

Lea otras preguntas en las etiquetas credit-card javascript pci-dss e-commerce

Cómo descifrar una contraseña dado su hash y sus posibilidades Escenario de seguridad líquido

score 1 · Answer 1

Debe tener mucho cuidado de entender si está incrustando un IFRAME desde Square / Stripe o utilizando bibliotecas de JavaScript. Como el IFRAME o la redirección completa se clasifica actualmente como outsourcing como dice Joe, y sería SAQ A, pero una implementación de JavaScript necesitaría que usted certifique el cumplimiento con SAQ A-EP. Hay un documento Visa bastante antiguo (lo escribí) que describe esto y también destaca los ataques.

enlace

El ataque por el que debe preocuparse es conocido como Magecart y utiliza un JavaScript malicioso para recopilar los datos de la tarjeta desde el navegador de su usuario, descrito bien por RiskIQ aquí.

enlace

Personalmente, siempre recomiendo que redireccione completamente a su cliente a un procesador de pagos (franja / cuadrado, etc.) ya que este es el método de aceptación que es menos susceptible a los ataques. El cumplimiento de PCI DSS es solo la mitad del problema, la otra mitad se ocupa de los datos de la tarjeta de pago de su cliente.

score 1 · Answer 2

Al utilizar Stripe o Square, reduce su carga de PCI, ya que está "subcontratando" el manejo de la información de la tarjeta de crédito (CHD). Esto podría hacerlo elegible para completar, por ejemplo, solo un SAQ-A que tiene solo unos pocos controles obligatorios para cumplir con sus obligaciones de PCI.

En el momento en que su sitio realiza CUALQUIER procesamiento, almacenamiento o transmisión de CHD, sus obligaciones de PCI aumentan. Es posible que ahora tenga que completar un SAQ-D, por ejemplo. SAQ-D tiene muchos más controles obligatorios que deben cumplirse.

Si su sitio crece lo suficiente y tiene un QSA o Aquirer revisándolo, le será difícil convencer a alguien de que su sitio no almacena, procesa ni transmite CHD sensible. Si desea persistir en la creación de su propio sitio, revise las distintas opciones de SAQ para ver qué controles deberá considerar en su diseño.