假设我决定使用支付网关而不是使用他们的托管页面,而是提供我自己的信用卡详细信息表单,然后通过xml将数据作为explained on this page发送到他们的后端。然后:
感谢您的帮助
答案 0 :(得分:6)
1)如果您在任何时候处理信用卡信息,则需要符合PCI标准。您需要解决编码问题,您的主机需要处理服务器的任何硬件和软件问题,并且支付网关公司有很多问题需要处理(这个列表太长,无法在此处列出,但您不需要无论如何都需要担心。)
2)否.SSL将帮助您实现PCI兼容,但PCI合规性更多,那么数据如何从用户传输到服务器。您对该数据的处理方式以及您的工作方式也会发挥作用。例如,如果您要存储信用卡信息,则需要使用加密,而不是存储PCI禁止存储的值(即CVV编号)。将此信息放入会话计为存储。
答案 1 :(得分:2)
其他评论中未提出的一个方面是,PCI-DSS是针对已实施的运营系统进行评估的,该系统中最重要的组成部分是人工流程和控制。 “我的网站将自动符合”的前提包括一种假设,即可以根据PCI-DSS评估一项脱离背景的技术。
根据PCI-DSS和PA-DSS的定义,任何自定义应用程序都不能按照自己的优点宣布符合PCI标准。可以根据PA-DSS评估不可定制的交钥匙解决方案的应用程序和硬件,但即使它们不能在已实施系统的环境中以及与之相关的人工控制和流程的基础上进行PCI认证。
要求2,10,11和12完全关注应用程序外部的系统控件以及人工程序和任务的代表。在其他要求中,仔细研究每一个要求都表明它们直接或间接地对人类过程和控制施加了约束。
因此,请务必阅读并吸收有关PCI技术要求的其他建议,但要放弃已完成的应用程序可以在工作的已实现系统的上下文之外被声明为PCI兼容的概念。更好的方法是考虑不与应用程序设计的技术细节直接相关的那些要求,并问自己应用程序如何帮助客户满足这些要求。例如,您的应用程序是否使客户能够“跟踪和监控对网络资源和持卡人数据的所有访问”? (要求10)
许多应用程序供应商认为要求12“维护一个解决所有人员信息安全的策略”的立场根本不适用于他们。但是客户经常回来询问有关应用程序是否帮助或伤害他们的评估项目的尖锐问题。客户负责培训员工如何预防,检测和恢复泄漏,以及应用程序与安全扫描程序进行互操作,配置和数据备份或恢复到先前时间点的能力都至关重要。 PCI要求在90天或更短时间内应用供应商发布的安全相关补丁,以便客户知道如何以及在何处通知他们这些内容,应用补丁的容易程度或破坏性,应用程序是否必须归结为应用它们等等。
希望,一个相当详细的评估将淘汰所有具有明显技术错误的应用程序,例如未能使用TLS加密,通过HTTP呈现登录页面或恢复密码而不是发送重置链接。任何愿意遵守只是 PCI指南的技术方面只是允许新的应用程序升级到商品的水平。为了区分市场中的应用程序,设计它以帮助客户满足不应用程序的直接责任的PCI要求。
答案 2 :(得分:1)
对问题1的回答: 是的,您应该更加担心PCI合规性。
对问题2的回答: 使用SSL表单收集信用卡信息可以保证从客户端到服务器的数据安全传输。如果您不打算在服务器上存储信用卡数据,那就足够了。如果您想存储信用卡数据,则需要遵守PCI DSS以存储信用卡数据。
答案 3 :(得分:1)
我帮助创建了Drupal PCI Compliance white paper,它提供了这些问题的答案以及在尝试使您的网站符合要求时可能遇到的许多其他问题。虽然您可能没有使用Drupal,但本文档中涵盖的原则很高,很容易应用于wordpress,Joomla或任何其他电子商务CMS。