我在SSL安全网站上有一张表格,其中包含信用卡号码及其类型(没有CCV,也没有到期日期)。当用户提交表单时,将向管理员发送包含所有提交信息的电子邮件。在此过程中,数据库中没有任何内容存储。
除了使用HTTPS保护网站外,我是否还需要做其他事情?
谢谢!
答案 0 :(得分:2)
由于您接受信用卡信息,因此您必须符合PCI标准。
来自FAQ:
问:PCI适用于谁?答:PCI适用于接受,传输或存储任何持卡人数据的任何组织或商家,无论交易规模大小或数量多少。换句话说,如果该组织的任何客户使用信用卡或借记卡直接向商家付款,则PCI DSS要求适用。
问:如何报告组织违反PCI?答:发现不符合PCI的企业可能会被他们用来处理信用卡交易的实体罚款。在信用卡数据实际被盗的情况下发生数据泄露的企业将受到来自银行,卡品牌等的更大的罚款和费用,并且需要报告违规行为,这会迅速发布新闻并导致声誉进一步受损
还有这个:
问:如果我有SSL证书,我是否符合PCI标准?答:不可以.SSL证书不保护Web服务器免受恶意攻击或入侵。
答案 1 :(得分:2)
如果您要提交任何信用卡信息,那么答案是肯定的!在电子邮件中发送信用卡是一个巨大的禁忌!
我建议立即离线,并尽快销毁所有电子邮件。然后去阅读PCI合规性文档,和/或考虑使用PCI兼容的支付界面,例如authorize.net。