我认为SSL是必须的。它是否正确?
是的,正确的。
我应该从共享 托管到专用服务器?
VPS至少是一个非常好的主意。您可能无法在共享主机上成功进行PCI兼容,但您没有足够的控制权来按照PCI要求锁定服务器。
我认为是没有加密是 是不会轻易取消可逆的,可以采取HTML表单 和PHP脚本之间的地方,做任何加密需要被用来做什么的,我 努力做?
你的API应该采取照顾。确保API也通过SSL/Secure连接。
请PCI要求阅读起来。您正在传输持卡人数据,因此您需要符合PCI规范。您将处于合规性的“最低级别”(我认为它是C或D)。您需要在服务器IP上运行季度扫描以证明符合性。作为一个供参考,我使用McAffee Secure。
你不会受到PCI规则的唯一方法是,如果别人的服务器上输入持卡人的数据(认为:贝宝)。无论何时您通过PayPal付款,您都将转入PayPal的服务器,然后转回。在那个方案中,你不需要遵守。
现在很多的PCI要求谈一些东西,不要在问卷调查申请(即是存储在一个安全的地方,你的服务器,如何物理安全是你的建筑,等...) - 好消息是你的服务器/托管公司应该处理这个问题。
网络扫描后,它会拿出的东西,让你不符合要求的清单。他们几乎总是与服务器相关的问题。你可以自己修复它们,或者请你的主机来帮助你 - 如果你向他们发送清单,大多数主机都会这样做。您将无法在共享主机上修复大量问题。
是的,SSL是必须的,并且会处理客户端和服务器之间(即HTML表单和PHP脚本之间)的加密。 – nickb 2013-02-22 18:42:06
如果您不保存汽车信用卡,并且您使用SSL,那么请不要担心... – 2013-02-22 18:44:27
无论您是否需要遵循PCI DSS,您都应该进行信用卡交易。这些标准涵盖了包括客户,商家和网关之间数据传输的所有内容。 https://www.pcisecuritystandards.org/security_standards/ – 2013-02-22 18:44:49