GARN | GARN Arkitektur i Hadoop | Hadoop GARN | Hadoop opplæring for nybegynnere Hadoop [del 16]

Nettbutikken min er for tiden i ferd med å bli PCI-kompatibel.

Av forretningsintelligensgrunner vil vi inkludere Google analytics-kode (eller en kode fra en lignende pakke) på kassen i betalingstrakten vår.

Da dette innebærer å inkludere tredjeparts JavaScript-kode på en side som håndterer kundens kredittkortdetaljer, lurer jeg på om denne typen integrasjon risikerer å ikke bestå en PCI-revisjon.

  • Hvis vi ikke kan gi deg svar her, kan det være lurt å prøve security.stackexchange.com. Jeg tror det kan høre hjemme på begge, og det er derfor jeg ikke flagger det for migrasjon. Innlegg på to nettsteder er imidlertid mislikt, så jeg vil vente noen dager på å se om vi kan svare på det før du prøver det der.
  • Takk paulmorriss, jeg visste ikke at det eksisterte. Jeg prøver der hvis ingenting dukker opp her om noen dager.
  • 1 Det vil også avhenge av PCI-revisor

For å være PCI-kompatibel må du bruke en validerte betalingsapplikasjon. Når en betalingsapp er validert, må den forbli frossen (det betyr at koding ikke endres i applikasjonen i det hele tatt).

Anses det å legge til javascript foran på nettstedet ditt som en kodingsendring i applikasjonen? Jeg vil si nei hvis du er vert for javascriptet selv og du forstår hva det gjør. Du kan være PCI-kompatibel med et sporingsskript på plass. Imidlertid, hvis skriptet er vert for en tredjepart, kan javaskriptet endres uten ditt samtykke, noe som fortsatt ikke nødvendigvis ugyldiggjør PCI-samsvar.

Min spekulasjon: Du kan legge til javascript i grensesnittet uten å påvirke betalingsapplikasjonen, hvis de er to separate enheter. Betalingssøknaden din blir ikke ugyldig, men du må sørge for at du fortsatt kan svare på alle spørsmålene i PCI-spørreskjemaet på en sann måte. Hvis du fortsatt kan svare på alle spørsmål sannferdig, er du fortsatt PCI-kompatibel.

  • Jeg vil veldig gjerne se at Google offentlig anskaffer og hevder PCI Compliance-sertifisering for deres Google Analytics-system, inkludert prosesser og systemer som injiserer javascript, mottar og svarer på anrop fra JavaScript, samler inn og lagrer informasjon som er ervervet på den måten, og rapporterer den informasjonen. Da ville vi ikke ha dette problemet. Kort av det, kan jeg ikke se hvordan vi med sannhet kan hevde PCI-samsvar hvis vi har GA på kassen vår.
  • De kan si at deres Google Analytics-system ikke samler inn kredittkortdata, så PCI-overholdelse er ikke nødvendig - men da blir spørsmålet om PCI-overholdelsesregulatorer stoler på Googles ord om det, fordi de absolutt kan samle inn kredittkortinformasjon, og vi vil ikke har ikke noen måte å vite eller kontrollere det på.

fungert for deg: Charles Robertson | Ønsker du å kontakte oss?