PŘÍZE | Architektura přízí v Hadoopu Hadoop YARN | Výukový program Hadoop pro začátečníky Hadoop [část 16]

Můj webový obchod je v současné době v procesu získávání souladu s PCI.

Z důvodů Business Intelligence bychom chtěli zahrnout analytický kód Google (nebo kód z podobného balíčku) na stránku pokladny našeho platebního trychtýře.

Jelikož to zahrnuje zahrnutí kódu JavaScript třetí strany na stránku, která zpracovává údaje o kreditní kartě zákazníků, zajímalo by mě, jestli tento typ integrace riskuje, že neprojde auditem PCI.

  • Pokud vám zde nemůžeme odpovědět, zkuste to na security.stackexchange.com. Myslím, že by to mohlo patřit k jednomu, a proto to neoznačuji pro migraci. Zveřejňování na dvou webech je ale zamračeno, takže bych počkal několik dní, než na to zkusíme odpovědět.
  • Díky paulmorriss jsem nevěděl, že jeden existuje. Zkusím to tam, pokud se tu za pár dní nic neobjeví.
  • 1 Závisí to také na vašem auditorovi PCI

Abyste vyhověli standardu PCI, musíte použít ověřenou platební aplikaci. Jakmile je platební aplikace ověřena, musí zůstat zamrzlá (to znamená, že v aplikaci nebudou vůbec žádné změny kódování).

Považuje se přidání JavaScriptu na přední část vašeho webu za změnu kódování aplikace? Řekl bych, že ne, pokud hostujete javascript sami a rozumíte tomu, co dělá. Mohli byste vyhovovat standardu PCI se sledovacím skriptem na místě. Pokud je však skript hostován třetí stranou, mohl by se javascript změnit bez vašeho souhlasu, což ještě nemusí nutně zneplatnit vaši shodu s PCI.

Moje spekulace: Můžete přidat javascript do rozhraní frontend bez ovlivnění platební aplikace, pokud se jedná o dvě samostatné entity. Vaše žádost o platbu nebude zneplatněna, ale musíte se ujistit, že stále můžete pravdivě odpovědět na všechny otázky v dotazníku PCI. Pokud stále můžete odpovědět na všechny otázky pravdivě, pak jste stále v souladu s PCI.

  • Velmi bych si přál, aby Google veřejně získal a prosadil certifikaci PCI Compliance pro svůj systém Google Analytics, včetně procesů a systémů, které vkládají javascript, přijímají a reagují na volání provedená tímto JavaScriptem, shromažďují a ukládají informace získané těmito prostředky a hlášení těchto informací. Pak bychom tento problém neměli. Krátce na to nevidím, jak můžeme pravdivě prosazovat shodu s PCI, pokud máme GA na naší stránce pokladny.
  • Mohli by říci, že jejich systém Google Analytics neshromažďuje údaje o kreditních kartách, takže dodržování předpisů PCI není nutné - ale pak vyvstává otázka, zda by regulační orgány pro dodržování předpisů PCI důvěřovaly slovu Google, protože by určitě mohly shromažďovat informace o kreditních kartách, a my bychom Nemám žádný způsob, jak to vědět nebo ovládat.

Pracoval pro vás: Charles Robertson | Chcete nás kontaktovat?