我被要求为将要付款的客户设置一些注册表格,类似于此网站(https://www.martialartstechnologies.com/register?tournamentID=82)。我是Authorize.net的经销商,但我发现有时候客户发现他们需要符合PCI标准后很难签署。我正在考虑创建一个符合PCI标准的站点域,然后在他们自己的个人子域中运行每个客户端注册页面。如果我这样做,域上的PCI合规性是否会对每个子域无效,还是会被覆盖?
答案 0 :(得分:1)
只有公司可以符合PCI标准,而不是服务器,网站,特定脚本,域名或子域名。正在审计整个基础设施,包括办公室WiFi网络和机柜锁等。你不能欺骗审计员用不同的颜色画一个橱柜并声称它不是你的。
即使您有1000个域名 - 并且它们指向遍布地球的1000个位置的1000个服务器 - 您必须将它们全部列出以进行PCI审核并使它们全部符合PCI。
答案 1 :(得分:0)
子域名可以在不同的服务器上,因此要回答的第一个问题是“相同或不同的服务器”?如果在不同的服务器上并处理信用卡信息,则无论如何都需要使每个服务器符合PCI标准。
答案 2 :(得分:0)
PCI合规性涉及代码/基础架构问题。 正如建议的那样,您不能自动将其扩展到子域 - 即使主域符合要求。
尽管如此,如果您为所有子域使用相同的基础架构,您可以处理与代码相关的漏洞,或者只是将整个结构封装在符合PCI DDS的WAF中(我建议使用符合Cloud PCI DDS标准的WAF来降低成本)。