Incrustación de un formulario de suscripción de servicio (a través de iframe) en una página de destino alojada por un tercero - PCI DSS Complaince

Question

Incrustación de un formulario de suscripción de servicio (a través de iframe) en una página de destino alojada por un tercero - PCI DSS Complaince

#1 de gowenfawr (2 votos)

0

Tenemos una aplicación SaaS que requiere que el usuario envíe información de pago al registrarse. La cuota de suscripción se cobra mensualmente. Y tenemos que presentar una queja ante PCI DSS.

Ahora, estamos planeando utilizar una plataforma de marketing, como hubspot / salesforce marketing cloud, para alojar nuestras páginas de destino y automatizar nuestro esfuerzo de marketing en su plataforma. Queríamos insertar nuestro formulario de suscripción en un iframe en la página de destino alojada en su plataforma. Las páginas de destino tendrán un origen de dominio diferente (por ejemplo, offers.mysaas.com) de la página de formulario de registro (por ejemplo, www.mysaas.com). offers.mysaas.com solo podrá procesar el formulario de registro a través de X-Frame-Options: ALLOW-FROM

Para presentar una queja ante PCI DSS, ¿el servicio de alojamiento de la página de destino de terceros también tiene que ser una queja de PCI DSS? Si no es así, ¿hay algún requisito que el servicio de terceros deba cumplir?

Gracias

pci-dss compliance iframe

pregunta Stayman Hou 11.08.2016 - 20:51

fuente

1 respuesta

Lea otras preguntas en las etiquetas pci-dss compliance iframe

¿Puede haber alguna vulnerabilidad en el código que representa imágenes en PHP? El proveedor de SIP no admite SIPS

score 2 · Answer 1

Para presentar una queja ante PCI DSS, ¿la página de destino de terceros? ¿El servicio de alojamiento también tiene que ser una queja de PCI DSS?

Sí.//strong>

Si está hablando de enviar a sus clientes para que se suscriban a través de un iframe, probablemente desee administrar su Cumplimiento de PCI bajo SAQ A . La parte 2f pregunta:

¿Su empresa comparte los datos del titular de la tarjeta con algún servicio de terceros? proveedores (por ejemplo, pasarelas, procesadores de pago, servicio de pago proveedores (PSP), empresas de alojamiento web , agentes de reservas de líneas aéreas, agentes del programa de lealtad, etc.)?

y después de que los enumeras, te recuerda:

Nota: El requisito 12.8 se aplica a todas las entidades en esta lista.

que, entre otros requisitos, pregunta:

12.8.4 - ¿Se mantiene un programa para monitorear los proveedores de servicios? ¿Estado de cumplimiento con PCI DSS al menos una vez al año?

Alguien como Salesforce es, de hecho, un proveedor de servicios compatible con PCI que se refleja en el Registro Global de Proveedores de Servicios de Visa . Los mismos Salesforce tienen una respuesta en su base de conocimientos , lo que facilita que sus clientes obtengan las certificaciones que necesitan.