Выполнение требований PCI DSS | Какие методы интеграции с платёжными системами позволяют исключить веб-приложение из PCI scope?

Выполнение требований PCI DSS: Какие методы интеграции с платёжными системами позволяют исключить веб-приложение из PCI scope?

Петров Вячеслав

08.12.2009|12:20

Личное сообщение

Инфо

Ответить

Здравствуйте!

Вопрос такой. Сейчас, фактически, платёжные системы предоставляют следующие методы интеграции с ними:

1. Форма с полями для ввода данных кредитной карты расположена на сайте магазина, она отправляет данные в веб-приложение (на сервере магазина), а это веб-приложение уже передаёт их в платёжную систему

2. Форма с полями для ввода данных кредитной карты расположена на сайте платёжной системы (веб-приложение отправляет покупателей туда в процессе оформления ими заказа)

3. Форма с полями для ввода данных кредитной карты расположена на сайте магазина, но настроена таким образом, что данные отправляются сразу на сервер платёжной системы, минуя сервер, где установлено веб-приложение

4. Форма с полями для ввода данных кредитной карты расположена на сайте платёжной системы, но отображается в IFRAME на сайте магазина. Данные также отправляются сразу на сервер платёжной системы, минуя сервер, где установлено веб-приложение

С первым способом всё понятно. Здесь для веб-приложения требуется PA-DSS сертификация, так как оно непосредственно манипулирует с данными кредитных карт.

Второй способ, вроде бы, тоже не вызывает вопросов: всё веб-приложение может быть исключено из PCI scope, так как данные о кредитках никогда не попадают ни на сервер, ни в веб-приложение.

Больше всего вопросов вызывает третий способ. В частности, вот эти вот ребята (http://dev.braintreepaymentsolutions.com/payment-processing/transparent-redirect/) утверждают, что такой метод интеграции является PCI compliant, а веб-приложение, отображающее сайт магазина, не требует PA-DSS сертификации (так как данные о кредитках присутствуют только в браузере клиента, и никогда не попадают на сервер магазина). Так ли это?

Ну и четвёртый способ интеграции также вызывает некоторые сомнения, хотя и не такие, как третий, так как IFRAME не позволяет "вытащить" введённые в него данные о кредитках со страницы, куда он вставлен.

Буду очень благодарен, если вы раскроете тайну вокруг третьего и четвёртого метода интеграции с платёжными системами и ответе, должно ли веб-приложение магазина сертифицироваться на PA-DSS в случае интеграции через эти методы, или веб-приложение исключается из области оценки в этих случаях.

Спасибо!

Марат Вышегородцев

Информзащита

09.12.2009|18:03

Личное сообщение

Инфо

Ответить

Здравствуйте, Вячеслав!

Во-первых, стандарт PA-DSS не применим ни в одном из перечисленных случаев, если это не коробочное решение. Если вы написали движок для сайта и используете его сами, то к вам применимы требования PCI DSS. Даже если вы внедрили тот же движок 1-2 клиентам - они будут подвергаться оценке по PCI DSS.

Если движок сайта (исходный код) предназначен для серийной продажи в виде коробочного решения (т.е. продукта), тогда применяется PA-DSS. В таком случае цель сертификации - облегчить вашим клиентам процедуру прохождения аудита, т.к. часть требований сразу к ним перестанет применяться.

Во-вторых, решения 3 и 4 не нарушают соответствие стандарту, если действительно критичные данные идут мимо вашего веб-приложения сразу к платежной системе.

Рассмотрим все 4 случая на примерах. Пусть URL вашего сайта - shop.com, на нем есть скрипт обработки данных платежных карт: credit-card.pl. URL платежной системы paymentsystem.com

1 случай: <form action="https://shop.com/credit-card.pl" method=POST><input type=text name="PAN">......</form>
В таком случае к вам применим PCI DSS или PA-DSS в случае коробочного решения.

2 случай: в форме корзины заказа просто будет ссылка в виде <a href="https://paymentsystem.com/processpayment.pl?payment_id=6556234">Оформить заказ</a>. В данном случае, если все данные платежной карты не вводились на предыдущих этапах оформления заказа, а будут вводиться на сайте paymentsystem.com, то тут к вам ничего не применимо.

3 случай похож на первый, но форма уже выглядит вот так, например: <form action="https://paymentsystem.com/credit-card.pl" method=POST><input type=text name="PAN">......</form>
В данном случае PCI DSS к вам напрямую не применяется, однако стоит задуматься о безопасности вашего веб-сайта. Что будет, если злоумышленник взломает ваш сайт и подменит параметр action в форме? Пользователь вашего сайта сразу не увидит куда он отправил данные, поэтому 2 случай более предпочтителен с точки зрения использования.

4 случай полностью аналогичен 3-ему, просто форма подгружается уже с сайта процессинга и отображается в iframe. PCI DSS в данном случае не применим, риски те же.

Итак, в случаях 2-4 требования регуляторов к вам не применяются, однако риск компрометации данных повышен в случаях 3 и 4. Так или иначе, перед вводом в эксплуатацию рекомендуется произвести независимую оценку безопасности, для этого вы можете связаться с Павлом Рузиным по телефону (495) 980-2345.