我在SSL安全网站上有一个表格,其中包含信用卡号码及其类型(无CCV和过期日期)。当用户提交表格时,电子邮件会发送给管理人员并提供所有提交的信息。这个过程中没有任何数据存储在数据库中。如果我的表单包含信用卡号码字段,我是否需要符合PCI规范
除了使用HTTPS保护网站以外,还需要做其他事吗?
谢谢!
我在SSL安全网站上有一个表格,其中包含信用卡号码及其类型(无CCV和过期日期)。当用户提交表格时,电子邮件会发送给管理人员并提供所有提交的信息。这个过程中没有任何数据存储在数据库中。如果我的表单包含信用卡号码字段,我是否需要符合PCI规范
除了使用HTTPS保护网站以外,还需要做其他事吗?
谢谢!
由于您接受信用卡信息,您必须符合PCI标准。
从FAQ:
问:向谁不PCI申请?答:PCI适用于接受,传输或存储任何持卡人数据的任何组织或商户,无论交易的规模或数量如何。换言之,如果该组织的任何客户曾经直接使用信用卡或借记卡向商户支付费用,则适用PCI DSS要求。
问:如何报告组织违反PCI? A:发现不符合PCI标准的企业可能会受到他们用于处理其信用卡交易的实体的罚款。那些信用卡数据实际上被盗的数据泄露企业将面临来自银行,卡片品牌等的更大的罚款和费用,并且需要报告违规情况,这很快造成新闻并导致进一步的声誉损失。
而且也是这样:
问:我符合PCI标准,如果我有一个SSL证书?答:不可以。SSL证书不能保护Web服务器免受恶意攻击或入侵。
如果您要提交任何信用卡信息,那么答案是肯定的!通过电子邮件发送信用卡是一个巨大的禁忌!
我建议立即脱机并尽快销毁所有电子邮件。然后阅读PCI合规性文档,和/或考虑使用PCI标准支付接口,例如authorize.net。
谢谢Shawn!我会看看authorize.net – mvovchak