es la queja de PCI PCI Cloudflare Flexible

Navega tus respuestas
0

Quiero usar Stripe para hacer donaciones en un sitio web.

Entiendo que Stripe se encarga de la mayor parte del cumplimiento de PCI pero requiere que use Seguridad de la capa de transporte (TLS ) para que utilicen HTTPS según su sitio web.

Mi pregunta es, ya que el SSL flexible La opción en Cloudlfare no es de extremo a extremo, ¿sigue contando? ¿Estoy tratando de entender si debo / debo comprar un certificado SSL cuando Cloudflare puede hacer que mi sitio diga que es HTTPS?

Por favor, distinga lo que se requiere de lo que se recomienda en sus respuestas, ya que estoy tratando de entender mis opciones, si las hay.

Gracias.

    
pregunta Summer Developer 12.06.2017 - 15:31
fuente

2 respuestas

2

No, Flexible SSL no cumple con los requisitos de PCI. SSL flexible (el énfasis es mío):

  

SSL flexible encripta el tráfico de Cloudflare a los usuarios finales de su   sitio web, pero no de Cloudflare a su servidor de origen .

que entra en conflicto con PCI DSS §4.1 (énfasis mío):

  

Utilice criptografía fuerte y protocolos de seguridad para proteger los datos confidenciales.   datos del titular de la tarjeta durante la transmisión a través de redes abiertas y públicas

Necesitaría que la opción SSL completa de Cloudflare sea compatible con PCI:

  

El modo SSL completo proporciona el cifrado de los usuarios finales a CloudFlare y   de CloudFlare a su servidor de origen. Esto requiere un SSL   Certificado en su servidor de origen. En modo SSL completo, tienes tres   Opciones de certificados para instalar en su servidor: una emitida por un   Autoridad de Certificación (Estricta), una emitida por Cloudflare (Origen CA),   o un certificado autofirmado. Se recomienda que uses un   Certificado obtenido a través de Cloudflare Origin CA.

Un certificado autofirmado no le costará nada y CA de origen de CloudFlare también Gratis y trata de simplificar la gestión de certificados.

    
respondido por el gowenfawr 12.06.2017 - 16:51
fuente
1

Dado que está solicitando donaciones, supongo que su presupuesto es pequeño. Es posible que tenga una solución alternativa aquí.

Volver Realizaba trabajo de comercio electrónico, la solución más sencilla era no recopilar o manejar información de pago en su propio sitio (si el cliente lo permitía): el usuario navega por su sitio, pero cuando llegó el momento de pagar , puede redirigirlos a un sitio protegido por TLS en el dominio de Paypal / (otro procesador) para realizar el pago.

De esta manera, su sitio completo podría funcionar en texto plano (salvo las páginas de inicio de sesión, etc.) y el tipo de cifrado que utilizó para proteger sus propias páginas confidenciales fue a su criterio. Podría salirse con SSL flexible, ya que los segmentos reales compatibles con PCI estaban protegidos de extremo a extremo en el lado del procesador.

(Todavía quieres algún tipo de HTTPS en tu propio sitio para el beneficio de SEO, si no más.)

Una vez que se complete el pago, serán redirigidos desde el procesador a cualquier página de "agradecimiento" en su propio sitio.

    
respondido por el Ivan 12.06.2017 - 17:21
fuente

Lea otras preguntas en las etiquetas

Impacto de la ley de Metcalfe en la calidad de la seguridad Mi jefe me está espiando [cerrado]