Conformidad con PCI: Capture la tarjeta de crédito, haga una llamada ajax para guardar la dirección, luego envíe un mensaje al Proveedor de pagos

0

Diga en la página de registro de invitados de un sitio web de comercio electrónico, si el usuario ingresa la dirección de entrega, los detalles de pago (detalles de la tarjeta de crédito) y hace clic en el botón Enviar, y si

  1. se realiza una solicitud ajax al sitio web de comercio electrónico alojado (para actualizar la dirección de entrega, tenga en cuenta que la información de la tarjeta de crédito no se envía)
  2. y en caso de éxito de la respuesta de ajax, el formulario de la tarjeta de crédito se envía (http POST) al proveedor de pago

¿realizar el ajax en el paso 1 hace que el sitio no sea compatible con PCI?

    
pregunta user1339772 10.11.2016 - 07:41
fuente

1 respuesta

1

En primer lugar, no soy un QSA.

Dicho esto, porque está aceptando la información de la tarjeta de crédito directamente en su sitio (aunque no la envíe a su servidor), debe completar SAQ A-EP . Entre las cosas que certifica con ese SAQ están:

  
  • Todo el procesamiento de los datos del titular de la tarjeta se subcontrata a un procesador de pago de terceros validado por PCI DSS
  •   
  • Su sitio web de comercio electrónico no recibe datos del titular de la tarjeta, pero controla cómo se redirige a los consumidores, o sus datos del titular de la tarjeta, a un procesador de pagos de terceros validado por PCI DSS
  •   
  • Su empresa no almacena, procesa ni transmite electrónicamente los datos del titular de la tarjeta en sus sistemas o instalaciones, sino que depende completamente de un tercero para manejar todas estas funciones
  •   

Tenga en cuenta que los "datos del titular de la tarjeta" no incluyen no la dirección de facturación, a pesar de que son datos sobre el titular de la tarjeta. En este contexto, significa :

  

Como mínimo, los datos del titular de la tarjeta consisten en el PAN completo. Los datos del titular de la tarjeta también pueden aparecer en la forma del PAN completo más cualquiera de los siguientes: nombre del titular de la tarjeta, fecha de vencimiento y / o código de servicio.

Por lo tanto, no hay problema con la publicación de la dirección en su propio sitio, siempre y cuando la información de la tarjeta no vaya con ella.

    
respondido por el Bobson 10.11.2016 - 14:48
fuente

Lea otras preguntas en las etiquetas