答案 0 :(得分:5)
我正在探索同样的问题。从与我们的PCI合规供应商谈话,听起来MikeH不正确。因为我们在我们的网站上托管表单,所以服务器本身需要符合PCI标准。那是因为如果服务器不安全,表单可能会被黑客攻击。
我看到两个选项:
将表单保留在我们的网站上。使服务器安全(我们的Web主机当前没有通过PCI扫描,他们正在处理它)。填写更长更详细的SAQ验证类型5(问卷D)。
使用Payflow Link的信用卡捕获表单。不需要担心服务器,可以使用更短的SAQ验证类型1(问卷A)。但是,我们失去了品牌,可能会失去销售,因为Payflow Link页面看起来如此不同。
SAQ D 丑陋: - (
答案 1 :(得分:1)
使用您提出的模型,您确实必须符合PCI标准,但其限制水平远低于数据触及服务器时的限制。
有关详细信息,请转到https://www.pcisecuritystandards.org/saq/instructions_dss.shtml,然后单击SAQ验证类型1(问卷A)的链接。这将告诉您作为商家必须实施的PCI DSS的哪些部分,并且所有持卡人功能都已外包。
希望这有帮助!
答案 2 :(得分:0)
如果您通过网站接受信用卡付款,则必须符合PCI标准。您需要走多远将取决于您的实施。如果您正在托管用户用于付款的表单,则需要使用SSL证书以便对页面进行加密(即使只是为了确保锁定图标出现在用户的浏览器中。如果没有它,您将不会每年进行1000笔交易)。