.NET Core Blazor PCI合规性

Question

我不太确定PCI合规性，但我相信它可以总结为“不要让信用卡数据访问您的服务器”。因此，任何post请求基本上都意味着数据最终至少在服务器RAM中。

但是Websockets呢？.NET Core Blazor，至少是目前的版本，正在使用websockets来更新和保持与服务器的连接。如果我有一个带有信用卡输入的表单，那就是使用第三方JS库来发送和操作信用卡数据(标记它等等)，它是否有机会命中服务器？

我真的不知道Blazor在后台发生了什么，也不确定到底是什么数据被发送到那里，所以Blazor会因为这个原因导致应用程序不符合PCI标准吗？

我认为我的问题可以表达得更好，让我重新表述一下：

我的主要问题是，我们能否在不处理服务器PCI合规性的情况下，通过服务器端blazor实现PCI合规性。有没有办法告诉blazor不要通过websockets发送敏感数据？据我所知，所有的客户端-服务器通信都是在后台进行的，有什么方法可以控制它吗？或者使用服务器端意味着我必须确保我的服务器是PCI兼容的。

Answer 1

PCI合规性是您必须做的一整套事情。信用卡数据当然可以使用并发送到您的服务器。让它远离服务器的想法是降低您的合规性，即您接触的信用卡数据越少，您必须采取的PCI合规性步骤就越少。如果您使用的是托管支付平台，用户实际上会被重定向到另一个第三方来收集和处理信用卡信息，那么您就没有PCI合规性，因为您永远不会接触或查看信用卡数据。

但是，如果您在客户端使用它，但从不在服务器端发送它，这并不意味着您不必担心PCI遵从性。您的PCI合规性负担较小，但并不是没有。此外，在服务器端发送它的方法也无关紧要。Websockets仍然有效。因此，如果你想让它完全脱离服务器，你必须使用客户端Blazor托管模型，即Webassembly。即使这样，你也要小心，不要把它发送给你控制的任何东西。换句话说，您构建的API仍然是服务器端的。您只能将其直接发送到您的支付处理机(条纹、Authorize.Net等)。