我们不会存储任何信用卡信息。它通过HTML表单收集,然后由PHP脚本处理,该脚本使用Intuit的API为信用卡收费。在致电API以对卡收费后,所有信用卡信息都将被处理掉。
以下是关于信用卡信息安全性的问题:
如果您还有其他想法,请分享。感谢大家的时间。
答案 0 :(得分:4)
我认为SSL是必须的。这是对的吗?
是的,没错。
我应该从共享切换 托管到专用服务器?
VPS至少是一个非常好的主意。您可能无法在共享主机上成功实现PCI兼容,您只是没有足够的控制权来按照PCI的要求锁定服务器。
我认为没有加密 HTML表单之间可能发生的不可逆转是不可逆的 和PHP脚本,任何加密需要用于我的 想要做什么?
您的API应该注意这一点。确保API也通过SSL / Secure连接。
请阅读有关PCI要求的信息。您正在传输持卡人数据,因此您需要符合PCI条件。您将处于合规的“最低级别”(我认为它是C或D)。您需要在服务器IP上运行季度扫描以证明合规性。作为一个FYI,我使用McAffee Secure。
如果持卡人的数据是在其他人的服务器上输入的,那么您不受PCI规则约束的唯一方法就是(想想:paypal)。每当您通过PayPal付款时,您将被转移到PayPal的服务器,然后转回。在该计划中,您不需要合规。
现在许多PCI要求谈到一些不适用于问卷的东西(即你的服务器存放在一个安全的地方,你的建筑物的物理安全性等等) - 好消息是你的服务器/托管公司应该处理它。
网络扫描完成后,会出现一些让您不合规的内容。它们几乎总是服务器相关的问题。您可以自己修复它们,也可以让主机帮助您 - 如果您将列表发送给它们,大多数主机都会这样做。你将无法在共享主机上修复它们。
答案 1 :(得分:0)
您的要点按顺序解决
PCI要求可能适用。
答案 2 :(得分:0)
1)我将通过HTTPS服务整个页面,以避免用户收到“某些资源未受保护”的警告信息
2)取决于集成,如果Intuit为您提供了iframe或表单操作,那么敏感数据永远不会到达您的服务器。用户可以直接输入和/或直接提交给您的页面作为容器。
如果以上情况属实:
3)您不必通过PCI合规性。 Intuit已经做到了。敏感数据永远不会到达您的服务器,因此无需处理。
4)共享或专用主机并不重要,因为您没有转发或存储任何敏感信息。
答案 3 :(得分:0)
专用主机:理想情况下,是的。使用共享主机有两个问题:
这些主要是主机安全策略的域,PCI扫描不易识别。