我一直在与拒绝采用PCI标准的客户进行辩论。我想与社区核实,以确保我的反对意见是正确的。
问题:有没有办法在共享托管服务器上存储信用卡信息并且符合PCI标准?
以下是设置:
1)正在为整个结账流程和客户网站的管理部门实施SSL。
2)信用卡信息存储在MYSQL数据库中的服务器(共享主机方案)上。它是加密的。
3)客户端访问受密码保护的管理面板,并从她的网站打印信用卡。
4)客户端然后通过终端手动运行信用卡信息,并从服务器中删除此信用卡信息。
答案 0 :(得分:2)
不,不是。
阅读https://www.pcisecuritystandards.org/documents/Prioritized_Approach_V2.0.pdf - 这是PCI DSS内容的良好指南。
我个人认为第5-10节不太可能在这里发生。
答案 1 :(得分:0)
有时作为开发人员,我们必须引导客户走向最佳实践,即使他们反对。目前存储加密数据的做法听起来非常危险。如果您的客户被发现违规,罚款本身就可能会破坏他们的业务,并且它也可能会再次困扰您。这个网站有一些很好的信息: https://www.owasp.org/index.php/Handling_E-Commerce_Payments
许多商家帐户对小型企业来说非常实惠。您应该考虑使用Authorize.net或类似的网关设置您的客户端。设置购物车/结帐流程具有中等挑战性,但如果您能够设置一个类似于您所描述的系统,我相信您可以在一周左右的时间内弄明白。
祝你好运!答案 2 :(得分:0)
可以使用共享托管服务提供商并且符合PCI标准。如果您(或正在使用)共享托管服务提供商,PCI标准包括必须具备的其他控制。
额外的控制包括能够在不同客户端之间分离处理,控制另一个客户端访问一个客户端数据,控制对审计日志的访问等。
但是,如果你决定沿着这条路走......祝你好运!
答案 3 :(得分:-3)
查看MaximumASP的maxesp云产品:http://www.maximumasp.com/products/cloudhosting/default.aspx
他们声称对于共享托管云计划中的Web和数据层,“完全符合PCI”。缺乏相反的证据,您的问题的答案似乎是“是”假设 MaximumASP的声明是有效的。我不太熟悉PCI的细节来反对他们,但如果其他人可以反驳这一说法,我会非常感兴趣。