ReverseProxy y PCI Compliance

Question

ReverseProxy y PCI Compliance

#1 de LateralFractal (1 votos)

1

Mi empresa tiene una pasarela de facturación compatible con PCI y exponen un servicio para enviar detalles de pago con tarjeta de crédito.

Estoy escribiendo un sitio web (Aplicación de página única / javascript de extremo a extremo) para ellos que se encuentra en un dominio diferente al de este portal de facturación, por lo que, naturalmente, llamar a este servicio desde javascript en el cliente (navegador) viola el mismo origen política.

En el pasado, he usado proxies para solucionar problemas de políticas del mismo origen. Me gustaría hacer algo similar en esta situación. Sin embargo, no tengo acceso a la red interna de confianza en la que reside la puerta de enlace de facturación compatible con PCI, por lo que no puedo colocar mi servidor proxy allí.

¿Existe tal cosa como un proxy inverso que hace SSL en ambos lados? O ¿cómo podría configurar una solución de proxy compatible con PCI?

tls proxy pci-dss same-origin-policy

pregunta Gus 27.09.2013 - 00:04

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls proxy pci-dss same-origin-policy

¿Es seguro usar VPNbook o sitios similares? [duplicar] ¿Cuáles son los problemas de seguridad al conectarse a una red WiFi? [duplicar]

score 1 · Accepted Answer

Veo dos problemas. En primer lugar, si el javascript maneja los detalles de la tarjeta de crédito, el servidor que proporciona el javascript debe ser compatible con PCI-DSS. En segundo lugar, cualquier proxy inverso que abstraiga / fusione los dominios subyacentes también debe ser compatible con PCI-DSS, de lo contrario, un atacante puede simplemente subvertir el proxy para que apunte a otra parte.

Por lo tanto, un proxy compatible con PCI sería la mejor manera de hacerlo. Consulte la sección 'Cómo un proxy inverso puede ayudarlo a lograr el cumplimiento normativo' de este artículo . O mejor aún, lea este artículo sobre el alcance del entorno compatible con PCI .

El principio básico es el mismo que para cualquier proxy para PCI-DSS: protege el proxy, protege la red y protege cualquier aplicación y servidor de bases de datos. Como esta lista de servidores y activos puede crecer bastante rápidamente, el enfoque recomendado es tener solo un usuario < - > relación / ruta de la empresa para transferir los detalles de la tarjeta de crédito. Su nueva aplicación crea otra relación / ruta, de ahí el trabajo adicional.