我正在构建一个新的Web应用程序,该应用程序提供请求用户卡信息的表单。提交此表单会将表单数据发布到完全符合PCI-DSS的不同应用程序。
即使我没有在该应用程序中读取卡信息,向用户提供表单的应用程序是否也需要符合PCI-DSS标准?
就我的简短的Google搜索会话而言,似乎在“处理”卡片信息的任何应用程序中都需要PCI-DSS合规性。我不完全确定“处理”信息的开始和结束位置。
答案 0 :(得分:4)
PCI / DSS于2014年更新(要求于2015年1月成为强制性要求),以更严格的自我评估问卷(SAQ A-EP V3)的形式处理条纹所使用的服务机制为:
新的SAQ,以满足适用于电子商务商家的要求 有一个网站本身不接收持卡人数据,但 这会影响支付交易和/或支付交易的安全性 接受消费者持卡人数据的页面的完整性。 内容符合PCI DSS v3.0要求和测试程序。
这表明需要合规性。
答案 1 :(得分:0)
您的用例听起来与Stripe相似,他们说您需要在页面上使用SSL,否则可以自我证明合规性。
https://support.stripe.com/questions/do-i-need-to-be-pci-compliant-what-do-i-have-to-do
但是,您可能需要咨询审计师并获得他们的正式意见。