Incrustación de un formulario de suscripción de servicio (a través de iframe) en una página de destino alojada por un tercero - PCI DSS Complaince

0

Tenemos una aplicación SaaS que requiere que el usuario envíe información de pago al registrarse. La cuota de suscripción se cobra mensualmente. Y tenemos que presentar una queja ante PCI DSS.

Ahora, estamos planeando utilizar una plataforma de marketing, como hubspot / salesforce marketing cloud, para alojar nuestras páginas de destino y automatizar nuestro esfuerzo de marketing en su plataforma. Queríamos insertar nuestro formulario de suscripción en un iframe en la página de destino alojada en su plataforma. Las páginas de destino tendrán un origen de dominio diferente (por ejemplo, offers.mysaas.com) de la página de formulario de registro (por ejemplo, www.mysaas.com). offers.mysaas.com solo podrá procesar el formulario de registro a través de X-Frame-Options: ALLOW-FROM

Para presentar una queja ante PCI DSS, ¿el servicio de alojamiento de la página de destino de terceros también tiene que ser una queja de PCI DSS? Si no es así, ¿hay algún requisito que el servicio de terceros deba cumplir?

Gracias

    
pregunta Stayman Hou 11.08.2016 - 20:51
fuente

1 respuesta

2
  

Para presentar una queja ante PCI DSS, ¿la página de destino de terceros?   ¿El servicio de alojamiento también tiene que ser una queja de PCI DSS?

Sí.//strong>

Si está hablando de enviar a sus clientes para que se suscriban a través de un iframe, probablemente desee administrar su Cumplimiento de PCI bajo SAQ A . La parte 2f pregunta:

  

¿Su empresa comparte los datos del titular de la tarjeta con algún servicio de terceros?   proveedores (por ejemplo, pasarelas, procesadores de pago, servicio de pago   proveedores (PSP), empresas de alojamiento web , agentes de reservas de líneas aéreas,   agentes del programa de lealtad, etc.)?

y después de que los enumeras, te recuerda:

  

Nota: El requisito 12.8 se aplica a todas las entidades en esta lista.

que, entre otros requisitos, pregunta:

  

12.8.4 - ¿Se mantiene un programa para monitorear los proveedores de servicios?   ¿Estado de cumplimiento con PCI DSS al menos una vez al año?

Alguien como Salesforce es, de hecho, un proveedor de servicios compatible con PCI que se refleja en el Registro Global de Proveedores de Servicios de Visa . Los mismos Salesforce tienen una respuesta en su base de conocimientos , lo que facilita que sus clientes obtengan las certificaciones que necesitan.

    
respondido por el gowenfawr 11.08.2016 - 22:01
fuente

Lea otras preguntas en las etiquetas