我有一个在Heroku上托管的应用程序(仍在开发中,而不是在线)这是一个在线课程。用户可以免费注册,他们可以访问免费视频部分。免费视频部分有一个Stripe Payment按钮。如果成为会员的用户可以进行付款,并且可以访问会员资格'付款成功后,应用的视频部分。
我的问题是使用SSL并付款。我已向Stripe提出这个问题,他们已回复:*
是的,您必须为PCI合规性设置TSL / SSL证书。由于您使用的是Heroku,我建议您与客户支持小组联系以获取更多相关信息。
然后我跟Heroku说话他们说要联系Stripe ......
由于我在这方面不是很有经验,有人可以推荐我需要做的事吗?激活Stripe Checkout弹出窗口时是否需要激活SSL? Stripe Checkout甚至需要SSL还是已经安全?
更多信息:我使用的是Heroku Professional Standard软件包。
我在Stripes网站上找到了以下内容:
PCI合规性是一项共同责任,适用于Stripe和您的业务。接受付款时,您必须以符合PCI的方式进行付款。您最符合PCI标准的方法是永远不会看到(或有权访问)卡数据。 Stripe让您轻松,因为我们可以进行繁重的工作以保护您客户的卡信息。只要您:
,您就可以简化PCI合规性使用Checkout,Stripe.js和Elements或我们的移动SDK库来收集付款信息,这些信息可以直接安全地传输到Stripe,而不会通过您的服务器
我非常确定,因为我使用Stripe Checkout然后我不需要做任何进一步的事情,但只是想在我开始付款之前100%确定...
由于
答案 0 :(得分:2)
即使Stripe的服务器通过HTTPS提供Stripe Checkout本身,您的付款页面(包括Stripe Checkout)也需要通过HTTPS提供有效的TLS证书才能成为PCI compliant。
(从技术上讲,如果您的网站是通过未加密的HTTP提供的,则攻击者可以进行中间人攻击并使用恶意脚本的URL更改https://checkout.stripe.com/checkout.js。)
你应该简单地让Heroku帮你在你的网站上设置HTTPS - 你使用Stripe的事实只是为什么你需要这个的上下文,但它不会改变任何东西Heroku的。