Нужно ли нам обращаться с жалобой PCI, если мы собираем данные кредитной карты в форме и публикуем ее на каком-либо платежном шлюзе?
Я собираю данные кредитной карты от пользователей в форме и затем отправляю эти данные формы на платежные шлюзы, такие как PayPal или Braintree.
Форма захвата кредитной карты размещается в SSL (HTTPS) и использует cURL для отправки данных кредитной карты на платежные шлюзы. Так как мы не сохраняем данные кредитной карты на нашем сервере, нам также следует обратиться с жалобой PCI, если мы следуем этому сценарию.
6 ответов
Ты не должен этого делать! Форма, которая обрабатывает информацию о кредитной карте, всегда должна указывать на платежный шлюз в качестве цели, чтобы ваш сервер не обрабатывал конфиденциальные данные. Хороший платежный шлюз отправит вам обратно сокращенную версию номера кредитной карты в сочетании со статусом подтверждения для сохранения в вашей базе данных и, возможно, покажет пользователя в электронных письмах или в административных областях пользователя. Вы также можете использовать JavaScript, чтобы получить сокращенный номер кредитной карты (и только номер!) Из формы и отправить его через ajax на свой сервер перед отправкой формы на шлюз.
Если вы обрабатываете и передаете информацию о кредитной карте, вы должны соответствовать требованиям PCI. Период.
Я согласен с двумя другими ответами, которые размещены...
Поскольку у вас есть доступ к конфиденциальным данным, выполняющий роль посредника, независимо от того, решите вы сохранить данные или нет... вы могли бы... и вам необходимо соблюдать требования.
Если вы передаете их в другую форму, отличную от вашей, например, Paypal / и т. Д., И вы никогда не получаете никаких кредитных данных клиента... это правильный путь.
Умный подход к соответствию PCI DSS
Используя прозрачный редирект (TR) и хранилище, продавцы могут достичь соответствия PCI в считанные дни. TR и Vault исключат обработку, обработку или хранение данных кредитной карты, чтобы вы могли претендовать на Вопросник для самооценки A, самый короткий из четырех SAQ.
Возможно, вы все еще обрабатываете конфиденциальные данные. Если кто-то взломает ваш сервер, он может легко перехватить ваше общение и получить эти данные, то есть он все равно должен быть надежно защищен.
Вы, вероятно, найдете правильный ответ на сайте PCI
Короткий ответ: да. Существует несколько уровней соответствия PCI, каждый из которых определяется вашим годовым объемом продаж.
Большинство продавцов совершают менее 20 000 транзакций в год, и это дает некоторую свободу для самооценки, чтобы подтвердить, что вы соответствуете правилам. Эта статья, хотя и посвящена Magento, является действительно хорошим обзором ландшафта.
Ключевым выводом здесь является то, что вы должны иметь это как часть вашего основного рабочего процесса.
Ответ НЕТ, вам НЕ обязательно быть PCI-совместимым, если вы не храните данные кредитной карты и не используете безопасный шлюз. Но вам действительно нужен https, который у вас уже есть.