.NET Core Blazor PCI 合规性

Question

我不太确定 PCI 合规性，但我认为可以总结为“不要让信用卡数据影响您的服务器”。因此，任何发布请求基本上都意味着数据至少在服务器 RAM 中结束。

但是 Websockets 呢？ .NET Core Blazor，至少是当前版本，正在使用 websockets 来更新并保持与服务器的连接打开。如果我有一个带有信用卡输入的表单，即使用第三方 JS 库来发送和操作信用卡数据（对其进行标记等），它是否有机会访问服务器？

我实际上不知道 Blazor 在后台发生了什么，例如，不确定到底发送了哪些数据，所以 Blazor 可能会导致应用程序不符合 PCI 合规性，因为这个？

我认为我的问题可以措辞更好，这里让我重新表述一下：

我的主要问题更多地是沿着 CAN 线，我们实现了服务器端 blazor 的 PCI 合规性，而无需处理服务器的 PCI 合规性。有什么方法可以告诉 blazor 不要通过 websockets 发送敏感数据？因为据我所知，所有客户端-服务器通信都是在后台进行的，有什么方法可以控制它？或者使用服务器端意味着我必须确保我的服务器符合 PCI 标准。

Answer 1

PCI 合规性是您必须做的一整套事情。当然可以使用信用卡数据并将其发送到您的服务器。将其保留在服务器之外的想法是降低您的合规性之一，即您接触信用卡数据的次数越少，您必须采取的 PCI 合规性步骤就越少。如果您要使用托管支付平台之类的东西，其中用户实际上被重定向到另一个第三方以收集和处理信用卡信息，那么您将没有 PCI 合规性，因为您从未接触或看到信用卡数据。

但是，如果您将其发送到客户端，但从不发送到服务器端，这并不意味着您不必担心 PCI 合规性。您的 PCI 合规负担较少，但并非没有。此外，在服务器端发送它的方法并不重要。 Websockets 仍然很重要。因此，如果您想完全不使用服务器，则必须使用客户端 Blazor 托管模型，即 Webassembly。即使那样，你也必须小心不要将它发送给你控制的任何东西。换句话说，您构建的 API 仍然是服务器端。您只能将其直接发送到您的支付处理器（Stripe、Authorize.Net 等）。