【问题标题】:Single-Page Application, APIs, and PCI Compliance单页应用程序、API 和 PCI 合规性
【发布时间】:2020-06-10 22:41:13
【问题描述】:

有没有人认为如果我有一个单页应用程序 (SPA),其 HTML 和 JavaScript 托管在服务器 X 上,将信用卡发送到托管在服务器 Y 上的远程 API,服务器 X 是否属于范围PCI?

此方案中的服务器 Y 符合 PCI 标准(由供应商通过第三方认证的托管应用程序)。

服务器 X 确实通过 HTTPS 提供网页,SPA 通过 HTTPS 访问 Y 的 API,我们尽一切合理努力确保 X 的安全。

API 从不返回卡片信息,只是屏蔽了卡片的“显示”版本(即“****”+最后 4 个)。

我发现了一个类似的问题,但此时答案已经超过 10 年了,而且我知道 PCI 规范确实会随着时间而改变。

【问题讨论】:

  • 信用卡信息是否通过服务器X?即使只是立即发送到服务器 Y?
  • 通过 AJAX 直接到服务器 Y。页面加载后,服务器 X 不再存在。

标签: ajax single-page-application pci-compliance


【解决方案1】:

如果信用卡信息从不通过服务器 X,根据上面的 cmets,那么服务器 X 不需要符合 PCI。 PCI 合规性仅适用于处理信用卡信息的软件和网络。由于该信息从未在服务器 X 上,因此服务器 X 永远不在 PCI 范围内。

【讨论】:

    猜你喜欢
    • 2015-10-19
    • 2013-10-02
    • 2011-05-12
    • 2013-10-13
    • 1970-01-01
    • 2014-05-21
    • 2016-05-18
    • 1970-01-01
    • 2017-05-26
    相关资源
    最近更新 更多