GARN | GAR Arkitektur i Hadoop | Hadoop GARN | Hadoop-vejledning til begyndere Hadoop [del 16]

Min webshop er i øjeblikket ved at blive PCI-kompatibel.

Af business intelligence-grunde vil vi gerne medtage Google Analytics-kode (eller en kode fra en lignende pakke) på kassen i vores betalingstragt.

Da dette indebærer at inkludere tredjeparts JavaScript-kode på en side, der håndterer kundens kreditkortoplysninger, spekulerer jeg på, om denne type integration risikerer ikke at bestå en PCI-revision.

  • Hvis vi ikke kan give dig et svar her, kan du prøve på security.stackexchange.com. Jeg tror, ​​det kunne høre hjemme på begge, hvorfor jeg ikke markerer det for migration. Indlæg på to sider er dog forkert, så jeg vil vente et par dage for at se, om vi kan svare på det, før du prøver det der.
  • Tak paulmorriss, jeg vidste ikke, at der eksisterede en. Jeg prøver der, hvis der ikke kommer noget her om et par dage.
  • 1 Det afhænger også af din PCI-auditor

For at være PCI-kompatibel skal du bruge en valideret betalingsapplikation. Når en betalingsapp er valideret, skal den forblive frossen (hvilket betyder, at kodning slet ikke ændrer applikationen).

Betragtes tilføjelse af javascript til forsiden af ​​dit websted som en kodningsændring i applikationen? Jeg vil sige nej, hvis du selv er vært for javascriptet, og du forstår, hvad det laver. Du kan være PCI-kompatibel med et sporingsscript på plads. Men hvis scriptet hostes af en tredjepart, kan javascriptet ændre sig uden dit samtykke, hvilket stadig ikke nødvendigvis ugyldiggør din PCI-overholdelse.

Min spekulation: Du kan tilføje javascript til frontenden uden at påvirke betalingsapplikationen, hvis de er to separate enheder. Din betalingsansøgning ugyldiggøres ikke, men du skal sørge for, at du stadig kan svare sandt på alle spørgsmål i PCI-spørgeskemaet. Hvis du stadig kan besvare alle spørgsmål sandfærdigt, er du stadig PCI-kompatibel.

  • Jeg vil meget gerne se, at Google offentligt erhverver og hævder PCI-overholdelsescertificering for deres Google Analytics-system, herunder de processer og systemer, der injicerer javascript, modtager og reagerer på opkald foretaget af JavaScript, indsamler og gemmer information erhvervet på den måde og rapportering af disse oplysninger. Så ville vi ikke have dette problem. Kort om det kan jeg ikke se, hvordan vi sandfærdigt kan hævde PCI-overholdelse, hvis vi har GA på vores kasseside.
  • De siger måske, at deres Google Analytics-system ikke indsamler kreditkortdata, så PCI-overholdelse er ikke nødvendig - men så bliver spørgsmålet, om PCI-overholdelsesregulatorer stoler på Googles ord om det, fordi de helt sikkert kunne indsamle kreditkortoplysninger, og vi ville ikke har ikke nogen måde at vide eller kontrollere det på.

arbejdet for dig: Charles Robertson | Ønsker du at kontakte os?

nyttige oplysninger