Comment utiliser en toute sécurité des services tiers sur ma page de paiement ?

Il existe des moyens plus sûrs d'intégrer des ressources tierces qui réduisent les risques décrits dans notre article sur l'utilisation de ressources tierces sur une page de paiement. Ces moyens sont à étudier par votre équipe de sécurité avant et après toute mise en œuvre :
• Incorporer du contenu externe (comme des outils de chat ou même des outils d'analyses de page) dans des iFrames
• Embarquer notamment le JavaScript, les polices et les images dans votre service certifié PCI DSS (comme la skin HPP)
• Embarquer des pages de paiement localisées avec du contenu statique dans votre skin HPP ou dans votre environnement CSE ou Checkout

Pour suivre un client tout au long de son tunnel d'achat (par exemple en utilisant Google Analytics) sans embarquer de code d'analyse web dans votre skin HPP, utilisez le champ merchantReturnData.

Toute ressource ou tout service hébergé par un tiers qui n'est pas embarqué de manière sécurisée dans un iFrame ou qui n'est pas entièrement stocké dans la skin HPP doit provenir d'un fournisseur de service certifié PCI DSS de niveau 1 ou 2 répertorié. Ce fournisseur doit en outre figurer dans votre questionnaire d'auto-évaluation SAQ.

Si vous devez embarquer des ressources tierces à votre page de paiement, vous pouvez également passer à une intégration Checkout API ou Checkout SDK avec des champs sécurisés. Des champs securisés sont alors utilisés dans les iFrames afin de protéger les données de paiement.

 

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 1