Ich arbeite an einer Webanwendung, wo ich Kreditkartendetails erhalten muss, aber nur damit ich diese Details an den konfigurierten Zahlungsprozessor weitergeben kann und die Karten-ID/den Token erhalte, der gespeichert wird.Verwenden Sie die Google Cloud-Funktion, um die PCI-Zertifizierung zu umgehen?
Normalerweise erfolgt dies im Front-End über JS Anfrage direkt an den Zahlungsprozessor, der Nonce zurückgibt und dann das Backend seine Arbeit macht. Aber das ist nicht mein Fall.
Obwohl ich die CC-Daten nicht speichern werde, werde ich sie technisch bearbeiten (die CC-Daten kommen in den Server und meinen Code), also brauche ich eine PCI-Zertifizierung.
Aber ich bin kein großes Unternehmen, das sich leisten kann, also möchte ich es vermeiden, zumindest jetzt.
Also ich frage mich, ob es aus Sicherheits-und PCI DSS Sicht ok wäre, eine Google Cloud-Funktion zu erstellen, die die CC-Daten erhalten würde, rufen Sie die Anwendung zur Validierung und Zahlungsprozessor-Konfiguration, senden Sie die CC-Daten an ausgewählt Zahlungsprozessor, posten Sie das Token zurück in die Anwendung, um auszuführen, was ausgeführt werden muss, und senden Sie das Ergebnis aus der Anwendung zurück an den Client.
Technisch treten die CC-Daten nur in die Google Cloud-Funktionsinstanz ein, die zertifiziert ist, und die CC-Daten werden nur sicher an den Zahlungsprozessor übermittelt, der ebenfalls PCI-zertifiziert ist. Und ich denke, in diesem Fall sollte der Selbstbeurteilungsfragebogen D - Dienstanbieter genug sein, ohne die Notwendigkeit einer Zertifizierung.
Ist meine Annahme richtig?
Ab dem heutigen Datum befindet sich Cloud Functions noch in der Betaversion und unterliegt keinem SLA. Überprüfen Sie, ob es noch etwas von Google gibt, das explizite Dokumentation über PCI DSS enthält und ob es Ihren Anforderungen entspricht. –
Habe ich SLA in meiner Frage erwähnt? –
Sie haben es nicht getan, aber ich habe es erwähnt, weil es mit der von Ihnen erwähnten Sicherheit zusammenhängen könnte.An einigen Stellen kann die Verwendung von Beta-Software an sich schon ein Sicherheitsproblem darstellen. Ein SLA kann auch Bestimmungen zur Sicherheit enthalten, wie Daten gespeichert werden etc. –