【发布时间】:2020-06-10 22:41:13
【问题描述】:
有没有人认为如果我有一个单页应用程序 (SPA),其 HTML 和 JavaScript 托管在服务器 X 上,将信用卡发送到托管在服务器 Y 上的远程 API,服务器 X 是否属于范围PCI?
此方案中的服务器 Y 符合 PCI 标准(由供应商通过第三方认证的托管应用程序)。
服务器 X 确实通过 HTTPS 提供网页,SPA 通过 HTTPS 访问 Y 的 API,我们尽一切合理努力确保 X 的安全。
API 从不返回卡片信息,只是屏蔽了卡片的“显示”版本(即“****”+最后 4 个)。
我发现了一个类似的问题,但此时答案已经超过 10 年了,而且我知道 PCI 规范确实会随着时间而改变。
【问题讨论】:
-
信用卡信息是否通过服务器X?即使只是立即发送到服务器 Y?
-
通过 AJAX 直接到服务器 Y。页面加载后,服务器 X 不再存在。
标签: ajax single-page-application pci-compliance