1
我在SSL安全网站上有一个表格,其中包含信用卡号码及其类型(无CCV和过期日期)。当用户提交表格时,电子邮件会发送给管理人员并提供所有提交的信息。这个过程中没有任何数据存储在数据库中。如果我的表单包含信用卡号码字段,我是否需要符合PCI规范
除了使用HTTPS保护网站以外,还需要做其他事吗?
谢谢!
A
回答
2
由于您接受信用卡信息,您必须符合PCI标准。
从FAQ:
问:向谁不PCI申请?答:PCI适用于接受,传输或存储任何持卡人数据的任何组织或商户,无论交易的规模或数量如何。换言之,如果该组织的任何客户曾经直接使用信用卡或借记卡向商户支付费用,则适用PCI DSS要求。
问:如何报告组织违反PCI? A:发现不符合PCI标准的企业可能会受到他们用于处理其信用卡交易的实体的罚款。那些信用卡数据实际上被盗的数据泄露企业将面临来自银行,卡片品牌等的更大的罚款和费用,并且需要报告违规情况,这很快造成新闻并导致进一步的声誉损失。
而且也是这样:
问:我符合PCI标准,如果我有一个SSL证书?答:不可以。SSL证书不能保护Web服务器免受恶意攻击或入侵。
2
如果您要提交任何信用卡信息,那么答案是肯定的!通过电子邮件发送信用卡是一个巨大的禁忌!
- 您可能没有将数字存储在本地服务器上,但它通过电子邮件服务器传输!攻击者可以访问这些信息!
- 如果有人更改表格上的电子邮件地址,则可以转到第三方。这是非常不安全的。
- 你永远不能发送明确的信用卡号码。在传输(存储)之前,期间和之后必须对数字进行加密;特别是全卡号码只能在绝对必要的情况下全部显示。否则,您可以显示最后4个,但只有在绝对需要处理业务功能时才显示。
- 您的表单不仅需要安全,还需要所有数字所在的硬件和网络。
我建议立即脱机并尽快销毁所有电子邮件。然后阅读PCI合规性文档,和/或考虑使用PCI标准支付接口,例如authorize.net。
相关问题
- 1. 是否所有源代码都需要符合PCI规范?
- 2. 如果使用Commerce Authorize.Net模块作为付款方式,我是否需要符合PCI规范
- 3. PCI符合信用卡号码的散列号
- 4. 储存信用卡号码 - PCI?
- 5. 保存不符合PCI规定的信用卡
- 6. 我是否需要包含support-v7/appcompat?
- 7. 如何检查我的服务器和magento站点是否符合PCI合规
- 8. 我需要使用包含单引号的JavaCC的解析字符串作为
- 9. 包含单引号的JQuery字段打破我的代码
- 10. Payflow链接需要PCI合规吗?
- 11. 是否符合Apache Tomcat PCI?
- 12. 我们是否需要仅对训练集的输入段进行规范化?
- 13. 如果我在我的网上商店使用PayPal,是否需要担心用户的信用卡?
- 14. 如何将信号发送到PCI卡?
- 15. 我们是否需要在Matlab中规范化特征值?
- 16. 检查字符串是否包含引号,如果有,请在
- 17. 通过PayPal进行定期借记/信用卡付款,无需PCI合规
- 18. 使用node.js构建符合PCI规范的应用程序
- 19. 我是否还需要断开Qt5.5中的信号的lambda?
- 20. 我是否需要包含www用于跨域跟踪?
- 21. 我如何知道我的字符串是否包含“micro”Unicode字符?
- 22. 我使用sagePay系统,做我的网站需要PCI法规遵从
- 23. 在Android/Java中我的线程是否需要信号灯?
- 24. 如何在没有PCI合规的情况下接受信用卡信息(并将钱汇入信用卡)?
- 25. 如果我使用CAKEphp,我是否也需要使用smartytemplates?
- 26. PCI合规性 - 透明重定向方案中是否需要SSL?
- 27. 我将如何搜索包含表情符号的文字?
- 28. 我如何在表单中包含Rails连接表字段?
- 29. 验证密码字段是否包含特殊字符
- 30. PCI合规性(如果是远程)的Key Server安全要求是什么?
谢谢Shawn!我会看看authorize.net – mvovchak