Webアプリケーションがあり、HTTPSを介してWebブラウザからPOST要求を介して送信されたクレジットカードデータを受信し、リモートPCIコンパイラカードプロセッサへのソケット(SSL)を即座に開いてデータを転送し、応答を待つ場合、私はそれを許可しますか?または、これは私のアプリケーションでデータを受信し、それを転送することはすでに「クレジットカードデータの処理」の対象ですか?
クライアントブラウザに表示されてccデータを入力するiframeを作成し、このiframeがHTTPS経由でリモートカードプロセッサにデータを送信する場合(直接!)、これはすでにクレジットカードデータを処理する場合ですか?アプリケーションコードが入力されたデータにイベントハンドラーで「触れない」場合でも?
「クレジットカードのデータ処理」の定義に興味があります。いつccデータ処理アプリケーションになり始めますか?誰かが、「処理アプリケーション」になり始める時期を明確に定義するPCI-DSS標準のそのセクションを指摘してもらえますか?
ありがとう、
それは良い質問です。PCI-DSSを直接代表する人、または少なくともPCIメンバーにアクセスできるQSAから、信頼できる回答をいくつか聞いてみたいと思います。
私の不正な答えは、iframeをホストするWebサーバーがPCIの範囲内にあり、サービスプロバイダーとして分類されるということです。これは、PCI標準の私の解釈に基づいており、用語集には次のように記載されています。
サービスプロバイダー ペイメントカードのブランド会員ではない事業体、またはデータとカード会員情報の処理、保管、送信、切り替え、取引データ、またはその両方に直接関与する販売者(* 1)。これには、カード会員データのセキュリティを管理または影響を与える可能性のある加盟店、サービスプロバイダー、またはメンバーにサービスを提供する企業も含まれます(* 2)。例としては、マネージドファイアウォール、IDS、その他のサービスを提供するマネージドサービスプロバイダーや、ホスティングプロバイダーやその他のエンティティがあります。通信リンクのアプリケーション層にアクセスせずに通信リンクのみを提供する通信会社などの事業体は除きます(* 3)
*1。あなたは明らかにペイメントカードのブランド(Visaなど)ではなく、(このサービスを提供している)販売者でもありません
*2。これは、サービスを提供するというあなたの役割であることは明らかです
*3。残念ながら、アプリケーション層のデータにアクセスできるため、この除外事項を満たしているとは思いません。
良いニュースは、あなたが取ったアプローチがおそらくあなたの頭痛を最小限に抑えるためにあなたができる最善の方法であるということです。
次に、このサーバーをセグメント化して、より広い(内部)ネットワークへのアクセスが非常に制限されるようにするのが理想的です。Webサーバーが提供する唯一の「アプリケーション」がこのiframeであることを確認してください(つまり、サーバーから他のWebページを実行しないでください)。server / iframe/etcが生成するログにカード関連のデータが含まれていないことを確認してください
残念ながら、Webトランザクションを処理しているので、QSAが関与する必要があることを意味していると思います。
自分で何もしなくても、データを送信します。したがって、PCI コンプライアンス ルールに該当します。
PCI DSS v .2.1、5 ページ、PCI DSS 適用性情報:
PCI DSS 要件は、プライマリ アカウント番号 (PAN) が保存、処理、または送信される場合に適用されます。PAN が保存、処理、または送信されない場合、PCI DSS 要件は適用されません。
たとえば、PCI DSS セクション 4.1 では、両端で SSL と HTTPS でカバーされているパブリック/オープン ネットワークを介して送信するときに暗号化が必要です。
しかし、カード データの直接取引に関する要件だけではありません。PCI DSS セクション 8.x などのユーザー認証制御もあり、特にカード所有者データまたは管理機能にアクセスできるユーザー向けです。
カード データを保存しないため無視できるセクションがありますが、ネットワーク セキュリティ、ファイアウォール、ウイルス対策、アクセス制御、監視と追跡、テストなどを扱う他のセクションがあります。
ハッカーのように考えてみてください。ハッカーがサイト/サーバーにアクセスした場合、iframe が悪意のある支払いゲートウェイに送られるように改ざんすることができます。これが範囲内であり、Web サイトを中心に展開するすべて (開発、サポート、テスト、運用) を PCI 準拠の方法で実施する必要があると主張する QSA (PCI 監査人) がいます。