Question

Кто-нибудь работал по той причине, что если у меня есть одностраничное приложение (SPA), чьи HTML и JavaScript размещены на сервере X, отправка кредитных карт на удаленный API, размещенный на сервере Y, делает сервер X подпадают под сферу PCI?

Сервер Y в этом сценарии совместим с PCI (размещенное приложение сертифицировано поставщиком через стороннего производителя).

Сервер X обслуживает веб-страницы через HTTPS, SPA обращается к API Y через HTTPS, и мы прилагаем все разумные усилия для обеспечения безопасности X.

API никогда не возвращает информацию о карте, только замаскированную «отображаемую» версию карты (то есть «****» + последние 4).

Я нашел один подобный вопрос, но на данный момент ему уже более 10 лет, и я знаю, что спецификации PCI меняют время.

John Conde · Answer 1 · 27 февраля 2020

Если информация о кредитной карте никогда не проходит через Сервер X, согласно вашим комментариям выше, то сервер X не должен быть PCI-совместимым. Соответствие PCI распространяется только на программное обеспечение и сети, которые обрабатывают информацию о кредитных картах. Поскольку эта информация никогда не находится на сервере X, сервер X никогда не попадает в область действия PCI.

Одностраничное приложение, API и соответствие PCI

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Одностраничное приложение, API и соответствие PCI

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы