“处理信用卡数据”是如何定义的(PCI)？

Question

如果我有一个web应用程序，并且我收到通过HTTPS的web浏览器通过POST请求传输的信用卡数据，并立即打开到远程PCI编译器卡处理器的套接字(SSL)以转发数据并等待响应，我是否可以这样做？或者这是通过我的应用程序接收数据并转发它，这已经是“处理信用卡数据”的主题了吗？

如果我创建了一个在客户端浏览器中显示的iframe来输入抄送数据，这个iframe通过HTTPS将数据发送到远程卡处理器(直接！)这已经是一个处理信用卡数据的案例了吗？即使我的应用程序代码没有使用任何事件处理程序“接触”输入的数据？

我对“信用卡数据处理”的定义很感兴趣。它什么时候开始成为cc数据处理应用程序？谁能告诉我PCI-DSS标准中明确定义你什么时候开始成为一个处理应用程序的那一节？

谢谢,

Answer 1

这是一个很好的问题，我希望听到一些权威的回答--要么是直接代表PCI-DSS的人，要么是至少有权接触PCI成员的QSA。

我不权威的回答是，托管iframe的you服务器将在PCI的范围内，而您将被归类为服务提供商。这是基于我对PCI标准的解释，其中glossary规定：

Service Provider业务实体，既不是支付卡品牌会员，也不是直接参与处理、存储、传输和交换交易数据和/或持卡人信息的商家(*1)。这也包括向控制或可能影响持卡人数据安全的商家、服务提供商或会员提供服务的公司(*2)。示例包括提供托管防火墙、IDS和其他服务的托管服务提供商以及托管提供商和其他实体。诸如电信公司等只提供通信链路而不访问通信链路的应用层的实体被排除在外(*3)

*1.你显然不是支付卡品牌(如Visa)，也不是商家(你向其提供这项服务)

*2.这显然是您的角色，作为提供服务

*3.不幸的是，我认为您不符合此排除条件，因为您可以访问应用层数据。

好消息是，你所采取的方法可能是你能做的最大限度地减少头痛的方法。

理想情况下，您应该对此服务器进行分段，以便对更广泛的(内部)网络的访问受到非常严格的限制。确保any服务器提供的唯一“应用程序”是这个iframe (即，不从服务器运行任何其他网页)。确保服务器/iframe/etc生成的日志不包含任何与卡相关的数据

不幸的是，我认为这确实意味着QSA需要参与进来，因为您正在处理web交易。

Answer 2

你传输数据，即使你自己不做任何事情。因此，您必须遵守PCI合规性规则。

PCI DSS v .2.1，第5页，在PCI DSS适用性信息下：

如果存储、处理或传输主要帐号(PAN)，则适用

PCI DSS要求。如果PAN未存储、处理或传输，则不适用PCI DSS要求。

例如，PCI DSS第4.1节在通过公共/开放网络传输时要求加密，您已经在两端使用SSL和HTTPS对其进行了覆盖。

但是，不仅仅是关于直接处理卡数据的要求。还有用户身份验证控制，例如在PCI DSS第8.x节中，特别是对于有权访问持卡人数据或管理功能的用户。

虽然有些部分你可以忽略，因为你没有存储卡数据，但还有其他部分涉及网络安全、防火墙、防病毒、访问控制、监控和跟踪、测试等。

Answer 3

像黑客一样思考--如果黑客获得了访问你的站点/服务器的权限，他们会以这种方式篡改它，使iframe进入恶意的支付网关。有QSA (PCI审计员)会坚持这是在范围内的，所有围绕网站(开发、支持、测试、运营)的事情都需要以符合PCI的方式进行。