我们不存储任何信用卡信息。它通过HTML表单收集,然后由一个PHP脚本处理,该脚本使用Intuit的API向信用卡收费。在调用API对卡进行充值后,所有信用卡信息都将被处理。信用卡信息,必须采取哪些安全预防措施?
这里是我的关于信用卡信息的安全性问题:
如果还有其他东西可以分享。感谢大家的时间。连接到API,这应该是唯一的选择
我认为SSL是必须的。它是否正确?
是的,正确的。
我应该从共享 托管到专用服务器?
VPS至少是一个非常好的主意。您可能无法在共享主机上成功进行PCI兼容,但您没有足够的控制权来按照PCI要求锁定服务器。
我认为是没有加密是 是不会轻易取消可逆的,可以采取HTML表单 和PHP脚本之间的地方,做任何加密需要被用来做什么的,我 努力做?
你的API应该采取照顾。确保API也通过SSL/Secure连接。
请PCI要求阅读起来。您正在传输持卡人数据,因此您需要符合PCI规范。您将处于合规性的“最低级别”(我认为它是C或D)。您需要在服务器IP上运行季度扫描以证明符合性。作为一个供参考,我使用McAffee Secure。
你不会受到PCI规则的唯一方法是,如果别人的服务器上输入持卡人的数据(认为:贝宝)。无论何时您通过PayPal付款,您都将转入PayPal的服务器,然后转回。在那个方案中,你不需要遵守。
现在很多的PCI要求谈一些东西,不要在问卷调查申请(即是存储在一个安全的地方,你的服务器,如何物理安全是你的建筑,等...) - 好消息是你的服务器/托管公司应该处理这个问题。
网络扫描后,它会拿出的东西,让你不符合要求的清单。他们几乎总是与服务器相关的问题。你可以自己修复它们,或者请你的主机来帮助你 - 如果你向他们发送清单,大多数主机都会这样做。您将无法在共享主机上修复大量问题。
你点进行排序
PCI要求可能适用。
1)我将成为整个页面通过HTTPS以避免用户得到的“一些资源没有得到保护”
2的报警信息)取决于整合,如果忒已为您提供的iframe或形成动作来使用,那么敏感数据永远不会到达您的服务器。用户可以直接输入和/或直接将它作为容器提交给你的页面。
如果以上情况属实:
3)您不必通过PCI合规性。 Intuit已经做到了。敏感数据永远不会到达您的服务器,因此没有任何可处置的东西。
4)共享或专用主机并不重要,因为您不在传输或存储任何敏感信息。
专用主机:理想的情况下,是的。使用共享主机有两个问题:
这些主要是主机的安全政策的领域,并且不容易被PCI扫描识别。
是的,SSL是必须的,并且会处理客户端和服务器之间(即HTML表单和PHP脚本之间)的加密。 – nickb 2013-02-22 18:42:06
如果您不保存汽车信用卡,并且您使用SSL,那么请不要担心... – 2013-02-22 18:44:27
无论您是否需要遵循PCI DSS,您都应该进行信用卡交易。这些标准涵盖了包括客户,商家和网关之间数据传输的所有内容。 https://www.pcisecuritystandards.org/security_standards/ – 2013-02-22 18:44:49