it-swarm.com.de

Welche Auswirkungen hat die PCI-Konformität und -Sicherheit auf die Verarbeitung von Zahlungen über mein einbettbares Widget?

Ich habe ein kleines einbettbares Javascript-Widget erstellt, das Artikel zum Verkauf auflistet, die Publisher auf ihrer Website einbetten können. Der aktuelle Anwendungsfall ist, dass der Benutzer, wenn er auf einen Artikel klickt, zu meiner Website weitergeleitet wird, wo er weitere Informationen abrufen und den Artikel hoffentlich kaufen kann. Typischer Workflow hier.

Was ich tun möchte, ist, den gesamten Workflow innerhalb des Widgets zu verschieben. Insbesondere möchte ich, dass der Benutzer den Artikel direkt über das Widget kauft, ohne jemals meine Website aufrufen zu müssen.

Das Widget würde über SSL mit meinem Back-End kommunizieren, wodurch die Zahlungsverarbeitung an Braintree oder ein anderes Gateway eines Drittanbieters delegiert würde.

Technisch ist dies für mich sehr realisierbar. Aber gibt es regulatorische oder Compliance-Probleme, die dies unmöglich machen würden? Was für Probleme würden Sie erwarten, wenn ich diesen Ansatz wählen würde? Was sind die Auswirkungen auf die Sicherheit?

2
Josh Deeden

Bei Kreditkartenzahlungen ist die PCI-Konformität immer ein Thema. Auf diese Weise werden die Dinge nur kompliziert, da jetzt nicht nur Ihre Site PCI-konform sein muss, sondern auch der Benutzer, der dieses Widget verwendet. Die PCI-Konformität schreibt vor, dass jede Website, die Kreditkartenzahlungen abwickelt, PCI-konform sein muss.

Der PCI DSS (Payment Card Industry Data Security Standard) enthält eine Reihe von Anforderungen, die sicherstellen sollen, dass ALLE Unternehmen, die Kreditkarteninformationen verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten. ( Quelle )

Wenn Sie also die Zahlungsfunktion in einem Widget haben, müssen Ihre Benutzer ebenfalls PCI-konform sein.

Ein Problem, das möglicherweise schwer zu lösen ist, ist SSL. Sie können die gesamte Transaktion über SSL mit Ihrem Widget ausführen, der Benutzer wird dies jedoch nicht wissen, da der Browser nicht anzeigt, dass die Seite sicher ist, es sei denn, die Seite, auf der sich das Widget befindet, verwendet SSL selbst. Daher können Benutzer einen Kauf abbrechen, wenn das Schlosssymbol im Browser nicht angezeigt wird.

2
John Conde