“处理信用卡数据”是如何进行的？定义（PCI）？

Question

如果我有一个 Web 应用程序，并且我收到 Web 浏览器通过 HTTPS 的 POST 请求传输的信用卡数据，并立即打开到远程 PCI 兼容卡处理器的套接字 (SSL) 以转发数据并等待响应，我是吗？允许这样做吗？或者这是否通过我的应用程序接收数据并将其转发已经成为“处理信用卡数据”的主题？

如果我创建一个显示在客户端浏览器中的 iframe 以输入抄送数据，并且该 iframe 通过 HTTPS 将数据发布到远程卡处理器（直接！），这是否已经是处理信用卡数据的情况？即使我的应用程序代码“不接触”任何事件处理程序输入的数据？

我对“信用卡数据处理”的定义感兴趣。什么时候开始成为cc数据处理应用程序？有人可以向我指出 PCI-DSS 标准中明确定义何时开始“成为处理应用程序”的部分吗？

谢谢，

Answer 1

即使您自己没有对数据进行任何操作，您也可以传输数据。因此，您确实符合 PCI 合规规则。

PCI DSS v .2.1，第 5 页，在 PCI DSS 适用性信息下：

如果存储、处理或传输主帐号 (PAN)，则 PCI DSS 要求适用。如果 PAN 没有被存储、处理，
或传输，PCI DSS 要求不适用。

例如，PCI DSS 第 4.1 节要求在通过公共/开放网络传输时进行加密，您已在两端使用 SSL 和 HTTPS 覆盖了这些网络。

但不仅仅涉及直接处理卡数据的要求。还有用户身份验证控制，例如 PCI DSS 第 8.x 节，特别是针对有权访问持卡人数据或管理功能的用户。

虽然有些部分可以忽略，因为您不存储卡数据，但还有其他部分涉及网络安全、防火墙、防病毒、访问控制、监控和跟踪、测试等。

Answer 2

这是一个很好的问题，我很想听到一些权威的答案——要么来自直接代表 PCI-DSS 的人，要么至少来自有权接触 PCI 成员的 QSA。

我的不权威答案是，托管 iframe 的 Web 服务器将在 PCI 范围内，并且您将被归类为服务提供商。这是基于我对 PCI 标准的解释，其中 词汇表 指出：

服务提供商非支付卡品牌的商业实体
直接会员或商户
涉及加工、储存、
传输和切换或
交易数据和持卡人
信息或两者（*1）。这也
包括提供
为商家提供服务、服务
控制或控制的提供者或成员
可能会影响安全
持卡人数据 (*2)。例子包括
托管服务提供商
提供托管防火墙、IDS 和
其他服务以及托管
提供商和其他实体。
电信等实体
只提供
无法访问的通信链路
应用层的
排除通信链路（*3）

*1。您显然不是支付卡品牌（例如 Visa），也不是商家（您向其提供此服务）
*2.这很明显是你的角色，提供服务
*3.不幸的是，我认为您不符合此排除条件，因为您可以访问应用程序层数据。

好消息是，您所采取的方法可能是减轻头痛的最佳方法。

理想情况下，您可以对该服务器进行分段，以便对更广泛（内部）网络的访问受到严格限制。确保网络服务器提供的唯一“应用程序”是此 iframe（即，不要从服务器运行任何其他网页）。确保服务器/iframe/等生成的日志记录不包含任何卡相关数据

不幸的是，我相信这确实意味着在处理网络交易时需要涉及 QSA。

Answer 3

像黑客一样思考 - 如果黑客获得了对您网站/服务器的访问权限，他们是否会以 iframe 进入恶意支付网关的方式对其进行篡改。有些 QSA（PCI 审计员）会坚持认为这在范围内，并且围绕网站的一切（开发、支持、测试、运营）都需要以符合 PCI 的方式进行。

Answer 4

很简单 - 如果 CC # 位于服务器上的任何位置，甚至只是内存，那么您正在处理它并遵守这些 PCI 要求。