Как определяется «обработка данных кредитной карты» (PCI)?

Question

Если у меня есть веб-приложение, и я получаю данные кредитной карты, передаваемые через POST-запрос веб-браузером через HTTPS, и немедленно открываю сокет (SSL) для удаленного процессора PCI-совместимых карт, чтобы переслать данные и ждать ответа мне разрешено это делать? или это получение данных с помощью моего приложения и отправка его уже предмет «обработки данных кредитной карты»?

если я создаю iframe, который отображается в браузере клиента для ввода данных cc, и этот iframe передает данные через HTTPS на удаленный процессор карты (напрямую!), Это уже случай обработки данных кредитной карты? даже если мой код приложения «не касается» введенных данных какими-либо обработчиками событий?

Меня интересует определение "обработка данных кредитной карты". когда он начинает работать как приложение обработки данных cc? Может кто-нибудь указать мне на этот раздел в стандарте PCI-DSS, который четко определяет, когда вы начинаете «быть приложением обработки»?

Спасибо

Answer 1

Это хороший вопрос, и я хотел бы услышать некоторые авторитетные ответы - либо от кого-то, непосредственно представляющего PCI-DSS, либо по крайней мере от QSA с доступом к членам PCI.

Мой несанкционированный ответ будет таким: веб-сервер, на котором размещен iframe, будет находиться в области действия PCI, и вы будете классифицированы как поставщик услуг. Это основано на моей интерпретации стандарта PCI, где глоссарий гласит:

Поставщик услуг Субъект, не являющийся брендом платежной карты член или продавец напрямую участвует в обработке, хранении, передача и переключение или данные транзакции и владелец карты информация или оба (* 1). Это также включает в себя компании, которые предоставляют услуги продавцам, услуги поставщики или члены, которые контролируют или может повлиять на безопасность данные держателя карты (* 2). Примеры включают управляемые поставщики услуг, которые обеспечить управляемые брандмауэры, IDS и другие услуги, а также хостинг поставщики и другие лица. Объекты, такие как телекоммуникации компании, которые только предоставляют каналы связи без доступа к прикладной уровень линии связи исключены (* 3)

* 1. Вы явно не являетесь брендом платежной карты (например, Visa) и не являетесь торговцем (которому вы предоставляете эту услугу)
* 2. Это довольно четко ваша роль, как предоставление услуги
* 3. К сожалению, я не думаю, что вы встречаете это исключение, так как у вас есть доступ к данным прикладного уровня.

Хорошая новость заключается в том, что выбранный вами подход, вероятно, является лучшим, что вы можете сделать, чтобы минимизировать ваши головные боли.

В идеале вы должны сегментировать этот сервер так, чтобы доступ к более широкой (внутренней) сети был очень ограничен. Убедитесь, что единственным «приложением», предоставляемым веб-сервером, является этот iframe (т.е. не запускайте никакие другие веб-страницы с сервера). Убедитесь, что запись, создаваемая сервером / iframe / etc, не содержит данных, связанных с картой

К сожалению, я считаю, что это означает, что QSA должен быть задействован, поскольку вы обрабатываете веб-транзакции.

Answer 2

Вы передаете данные, даже если сами ничего с ними не делаете. Таким образом, вы попадаете под правила соответствия PCI.

PCI DSS v .2.1, стр. 5, в разделе Информация о применимости PCI DSS:

Требования PCI DSS применяются, если основной номер учетной записи (PAN) хранится, обрабатывается или передается. Если PAN не сохраняется, обрабатывается, или переданные требования PCI DSS не применяются.

В разделе 4.1 PCI DSS, например, требуется шифрование при передаче по общедоступным / открытым сетям, которые вы покрыли SSL и HTTPS на обоих концах.

Но существуют не только требования, касающиеся прямых операций с данными карты. Также есть элементы проверки подлинности пользователя, например, в разделе 8.x PCI DSS, особенно для пользователей, имеющих доступ к данным держателя карты или административным возможностям.

Хотя есть разделы, которые вы можете игнорировать, поскольку вы не храните данные карты, есть и другие разделы, в которых рассматриваются такие вопросы, как сетевая безопасность, брандмауэры, антивирус, управление доступом, мониторинг и отслеживание, тестирование и т. Д.

Answer 3

Думайте как хакер - если хакер получил доступ к вашему сайту / серверу, они могли бы подделать его таким образом, что iframe перейдет на вредоносный платежный шлюз. Существуют QSA (аудиторы PCI), которые будут настаивать на том, что это входит в сферу применения, и все, что вращается вокруг веб-сайта (разработка, поддержка, тестирование, операции), должно проводиться в соответствии с PCI.

Answer 4

Простой - если CC # когда-нибудь на вашем сервере, даже просто в памяти, то вы обрабатываете его и подчиняетесь этим требованиям PCI.