A PCI DSS megköveteli, hogy a fejlesztési és tesztelési környezetek el legyenek szeparálva a produkciós (éles) környezettől, és valódi kártyaadatokat ne használjanak a fejlesztéshez és teszteléshez. A PCI Proxy EU sandbox-környezete biztonságos, valódi adatoktól mentes fejlesztési és integrációs tesztelést tesz lehetővé.
Miért kötelező a szeparált tesztkörnyezet?
A PCI DSS 6. követelménye (6.3 és 6.4) megköveteli: a fejlesztési és tesztelési környezetek elkülönítését a produkciós környezettől; valódi kártyaadatok nem használhatók fejlesztési vagy tesztelési célokra; ha valódi kártyaadatokat mégis kellene tesztelni (pl. kártyaérvényesítés), azokat a produkciós biztonsági kontrollokkal azonos szintű kontrollokkal kell védeni. A sandbox-környezet lehetővé teszi: a teljes tokenizációs folyamat tesztelését tesztkártyaszámokkal; a PSP-integrációk tesztelését szimulált válaszokkal; a webhook-feldolgozás tesztelését; a 3DS2-folyamatok tesztelését.
A PCI Proxy EU sandbox-környezet főbb jellemzői
A PCI Proxy EU sandbox az éles rendszer funkcionalitásának teljes mértékű másolata: tesztkártya-számok (Visa: 4111111111111111, Mastercard: 5555555555554444 stb.); hosted fields sandbox URL; REST API sandbox endpoint azonos authentikációval; PSP-szimulációk (elfogadás, elutasítás, 3DS-kihívás, timeout); webhook-tesztelés; teljes audit-napló a sandbox-tevékenységekről. Az egyetlen különbség: a sandbox nem processzál valódi fizetéseket és nem tárolja a valódi kártyaadatokat.
PCI DSS 6.4.3 és a fejlesztési tesztelés
A PCI DSS v4.0 6.4.3 követelménye megköveteli a kártyabeviteli oldalakon futó JavaScript-ek engedélyezési listáját. Fejlesztési és staging környezetekben: a tesztkörnyezetben is implementálni kell a 6.4.3-at (a produkciós verzió előtt tesztelve); a sandbox hosted fields-et ugyanúgy kell kezelni biztonsági szempontból, mint a produkciós verziót; a fejlesztői eszközök (browser extension, npm csomag) nem kerülhetnek a produkciós kártyabeviteli oldalra.
Fejlesztési munkafolyamat PCI Proxy EU sandbox-szal
Ajánlott fejlesztési munkafolyamat: 1. Sandbox-hozzáférés igénylése PCI Proxy EU-nál; 2. Helyi fejlesztés: sandbox API-kulcsokkal és tesztkártyákkal; 3. Staging tesztelés: staging-környezetben sandbox URL-ekkel; 4. Kódfelülvizsgálat biztonsági szempontból (JavaScript-tartalom ellenőrzése); 5. Produkciós integrációs teszt: éles API-kulcsokra váltás, a tesztkártyák körét kiterjesztve a szélsőértékekre; 6. Go-live.
Kérjen hozzáférést a PCI Proxy EU sandbox-környezethez
A sandbox-környezet azonnali hozzáféréssel elérhető a PCI Proxy EU fejlesztői portálján. Lépjen kapcsolatba velünk a részletekért és a technikai onboarding segítségéért.
Konzultáljon szakértőnkkel