我的公司希望启动一个基于订阅的网站,我正在使用支付网关实现它。
问题是,这个支付网关没有给我任何工具来加密客户的信用卡信息到达我们的服务器。
所以我的问题是,我该如何处理这些非常敏感的信息?
我不打算存储它或任何东西,只需将其直接从服务器发送到支付网关进行验证。
我们甚至可以处理纯文本信用卡信息吗?
我知道这是一个非常开放的主题,我只想指导我可以阅读并了解更多关于这个问题的地方。
答案 0 :(得分:1)
您几乎肯定需要符合pci标准,并且根据您所描述的设置,您需要进行最广泛的范围评估。不是你想要轻松接近的东西。
如果您已经拥有行业标准安全性,那么它不应该是PCI合规性的大跃进,但大多数都没有。一般来说,采取的方法是缩小您的范围,您可以使用像iframe或重定向的第三方产品来做到这一点,像Stripe这样的公司提供解决方案来做到这一点。在这种情况下,您可以使用SAQ A,否则您可能需要SAQ D.这也取决于您的数量,如果它们更高,您将需要合规报告(roc),这可能是昂贵的每年都需要。
您可以与商家银行聊天,因为他们通常需要遵守规定。他们可能非常有帮助,假设您的服务不在线。
查看pci council website,在那里加载信息以帮助您入门。