【问题标题】:Disable Browser asking for "store credit Card information"禁用浏览器询问“存储信用卡信息”
【发布时间】:2015-07-22 05:58:59
【问题描述】:

我正在开发一些 PCI 页面,但我不断发现 chrome 浏览器弹出:

您要存储信用卡信息吗

这不符合 PCI 标准,我想禁用它,这样浏览器就不会弹出用于存储信用卡信息的消息。

【问题讨论】:

  • this is not PCI compliant 错误。不要那样做。
  • @SLaks 我不明白.. 所以你认为我应该做些什么来防止这种提示吗?
  • 不要试图阻止用户使用有用的功能。
  • @SLaks 好的,我会让浏览器提示有用的功能。谢谢!
  • 如果您有员工填写 CUSTOMERS 信用卡号码,那么不,浏览器中的自动保存信用卡不符合 PCI 要求,而且似乎没有简单的方法可以在表单,或在 Chrome 政策中为整个组织禁用它。该死的令人沮丧。

标签: javascript html google-chrome browser


【解决方案1】:

PCI 合规性适用于您的网站应该做什么,而不是用户可以在自己的浏览器中做什么。您的网站当然不应该存储用户的信用卡信息。但是,与用户将信息写在便利贴上并将其粘贴到显示器上相比,您无需对用户允许他们的浏览器存储他们的信息承担更多责任。浏览器功能是浏览器功能,不是您应该(甚至通常可以)尝试管理的东西。

唯一的例外,如下面的 cmets 所述,如果您正在开发一个面向内部的 web 应用程序,系统会提示您组织的内部用户保存外部客户的信用卡信息.在这种情况下,您的组织可能希望抑制这种情况以防止潜在的 PCI 违规。但即使在这种情况下,也需要通过 Chrome 企业策略全局禁用自动填充来抑制它,因为它是您的个人网站无法控制的浏览器功能。

【讨论】:

  • 也就是说,如果您对此机制感到好奇,相关阅读内容将是 stackoverflow.com/questions/15168261/…
  • PCI 合规性不仅仅适用于单个系统或计算机,它适用于组织的所有内部流程。如果您的呼叫中心工作人员在电话交易期间出于某种原因习惯性地将 PAN 和 CVV 写在便利贴上,那将是重大违规行为。如果您的组织使用基于 Web 的系统来处理电话订单,并且该系统以一种无法关闭的不安全方式存储客户卡号,那么这也是一个同样严重的问题。
  • @BenCurthoys -- 不过,这里的重点是,支付信息被存储在用户的浏览器中,与基于网络的系统无关题。您对适用于“组织的所有内部流程”的 PCI 合规性是正确的——但是用户在个人计算机上安装 Google Chrome 时保存信用卡信息无论如何都不是 OP 组织的内部流程.
  • 如果您的组织使用基于网络的系统来处理电话订单,那么我们所说的计算机和浏览器属于商家,而不是持卡人,并且是在适用范围。前几天我注意到了这一点 - 他们的浏览器要求我的客户在每笔交易中保存持卡人数据,并且在 chrome 中,如果不完全禁用自动完成功能,则无法关闭此功能。我发现了自 2010 年以来一直打开的问题日志bugs.chromium.org/p/chromium/issues/detail?id=55719# 据我所知,唯一的选择是不使用 Chrome。
  • 我之所以发表评论只是因为我正在寻找解决方案,每次我发现有人谈论同样的问题时,我总是发现其他人说“你不应该那样做”而不费心去理解真正存在问题的用例 =) 浏览器用户并不总是持卡人。
猜你喜欢
  • 2010-12-18
  • 2011-03-17
  • 1970-01-01
  • 1970-01-01
  • 2017-04-21
  • 1970-01-01
  • 1970-01-01
  • 2013-07-10
相关资源
最近更新 更多