. NET Соответствие Core Blazor PCI

Question

Я не слишком уверен в соответствии PCI, но я считаю, что его можно подытожить так: «Не позволяйте данным кредитной карты попадать на ваш сервер». Таким образом, любой почтовый запрос в основном будет означать, что данные попадают, по крайней мере, в ОЗУ сервера.

Но как насчет Websockets? . NET Core Blazor, по крайней мере, в текущей версии, использует веб-сокеты для обновления и поддержания соединения с сервером открытым. Если у меня есть форма с вводом кредитной карты, которая использует стороннюю библиотеку JS для отправки и обработки данных кредитной карты (токенизации и т. Д.), Есть ли у нее шанс попасть на сервер?

На самом деле я понятия не имею, что происходит в фоновом режиме с Blazor, поскольку я не уверен, какие именно данные отправляются туда, поэтому может случиться так, что Blazor может привести к тому, что приложение не будет соответствовать требованиям PCI из-за этого?

Я думаю, что мой вопрос мог бы быть сформулирован лучше, здесь позвольте мне перефразировать его:

Мой главный вопрос касался в большей степени CAN, мы достигаем PCI-совместимости с сервером Blazor без необходимости иметь дело с соответствием PCI для сервера. Любой способ сказать Blazor не отправлять конфиденциальные данные через веб-сокеты? Поскольку, насколько мне известно, все клиент-серверное взаимодействие происходит в фоновом режиме, есть ли способ контролировать это? Или использование серверной части означает, что я должен защитить свой сервер, чтобы он соответствовал PCI.

Answer 1

Соответствие PCI - это целый набор вещей, которые вы должны сделать. Данные кредитной карты, безусловно, могут быть использованы и отправлены на ваш сервер. Идея держать его вне сервера заключается в снижении вашего соответствия, т. Е. Чем меньше вы касаетесь данных кредитной карты, тем меньше шагов по соблюдению PCI вы должны предпринять. Если бы вы использовали что-то вроде хостинговой платежной платформы, где пользователь буквально перенаправляется к третьей стороне для сбора и обработки информации о кредитной карте, то у вас не было бы соответствия PCI, потому что вы никогда не касаетесь или не видите кредитную карту data.

Однако, если вы берете это на стороне клиента, но никогда не отправляете это на стороне сервера, это не означает, что вам не нужно беспокоиться о соответствии PCI. Ваше бремя соответствия PCI меньше , но не отсутствует. Далее способ отправки на сервер не имеет значения. Веб-сокеты все еще учитываются. Итак, если вы хотите полностью сохранить его вне сервера, вы должны использовать клиентскую модель хостинга Blazor, то есть Webassembly. Даже тогда вы должны позаботиться о том, чтобы никогда не отсылать это кому-либо под вашим контролем. Другими словами, созданный вами API по-прежнему на стороне сервера . Вы сможете отправить его только непосредственно вашему обработчику платежей (Stripe, Authorize. Net, et c.).