Verwenden Sie die Google Cloud-Funktion, um die PCI-Zertifizierung zu umgehen?

Question

Ich arbeite an einer Webanwendung, wo ich Kreditkartendetails erhalten muss, aber nur damit ich diese Details an den konfigurierten Zahlungsprozessor weitergeben kann und die Karten-ID/den Token erhalte, der gespeichert wird.

Normalerweise erfolgt dies im Front-End über JS Anfrage direkt an den Zahlungsprozessor, der Nonce zurückgibt und dann das Backend seine Arbeit macht. Aber das ist nicht mein Fall.

Obwohl ich die CC-Daten nicht speichern werde, werde ich sie technisch bearbeiten (die CC-Daten kommen in den Server und meinen Code), also brauche ich eine PCI-Zertifizierung.

Aber ich bin kein großes Unternehmen, das sich leisten kann, also möchte ich es vermeiden, zumindest jetzt.

Also ich frage mich, ob es aus Sicherheits-und PCI DSS Sicht ok wäre, eine Google Cloud-Funktion zu erstellen, die die CC-Daten erhalten würde, rufen Sie die Anwendung zur Validierung und Zahlungsprozessor-Konfiguration, senden Sie die CC-Daten an ausgewählt Zahlungsprozessor, posten Sie das Token zurück in die Anwendung, um auszuführen, was ausgeführt werden muss, und senden Sie das Ergebnis aus der Anwendung zurück an den Client.

Technisch treten die CC-Daten nur in die Google Cloud-Funktionsinstanz ein, die zertifiziert ist, und die CC-Daten werden nur sicher an den Zahlungsprozessor übermittelt, der ebenfalls PCI-zertifiziert ist. Und ich denke, in diesem Fall sollte der Selbstbeurteilungsfragebogen D - Dienstanbieter genug sein, ohne die Notwendigkeit einer Zertifizierung.

Ist meine Annahme richtig?

Answer 1

Wenn Sie ein Dienstanbieter sind, benötigen Sie SAQ D für Dienstanbieter, unabhängig von der von Ihnen verwendeten Konfiguration. Grundsätzlich, wenn das Geld, das von der Kreditkarte gesammelt wird, in jemand anderes Händlerkonto fließt, dann sind Sie ein Dienstleister.

SAQ D ist das härteste der SAQs, der Unterschied zu 'Zertifizierung' (es gibt keine Zertifizierung als solche) oder RoC, ist im Grunde genommen eine vertrauenswürdige Stelle, die überprüft, ob Sie die SAQ korrekt ausgeführt haben. Sie benötigen nur den RoC, der in der Größenordnung von $ 25.000 pro Jahr liegen kann, wenn Sie eine bestimmte Anzahl von Transaktionen pro Jahr bearbeiten.

Ja, Sie sollten in der Lage sein, die GCP-Cloud-Funktionen zu nutzen, und dies wird Ihnen bei der PCI-Compliance helfen, aber in Wirklichkeit wird es keinen großen Unterschied machen, was den PCI-Standard betrifft. Sie müssen immer noch alle Richtlinien und Verfahren, Codeüberprüfungen, SDLC, Penetrationstests usw. haben. Es ist 139 Seiten Anforderungen.

Die gute Nachricht ist, dass Sie technisch nicht PCI-kompatibel sein müssen, es liegt beim Händler, PCI-konforme Anbieter zu verwenden, und sie tun dies durch einen Vertrag mit Ihnen, in dem Sie ihre PCI-Anforderungen angeben. Offensichtlich nicht der beste Ansatz.

Haben Sie ein Gespräch mit einem QSA, es ist wahrscheinlich ein paar hundert Dollar Beratungshonorare wert, um zu sehen, ob es überhaupt darum herum ist. Wenn Sie dies für einen einzelnen Client einzeln ausführen, wird es möglicherweise nicht als Serviceanbieter betrachtet.

Viel Glück, und es wäre toll zu hören, was Sie tun.