为请求用户信用卡信息的表单提供服务的服务器是不是需要符合 PCI 标准
Posted
技术标签:
【中文标题】为请求用户信用卡信息的表单提供服务的服务器是不是需要符合 PCI 标准【英文标题】:Does a server that serves a form requesting a user's credit card information need to be PCI compliant为请求用户信用卡信息的表单提供服务的服务器是否需要符合 PCI 标准 【发布时间】:2015-03-04 09:24:55 【问题描述】:我正在构建一个新的 Web 应用程序,它提供一个请求用户卡信息的表单。提交此表单会将表单数据发布到另一个完全符合 PCI-DSS 的应用程序。
向用户提供表单的应用程序是否也需要符合 PCI-DSS,即使我没有读取该应用程序中的卡信息?
据我简短的谷歌搜索显示,似乎任何“处理”卡信息的应用程序都需要符合 PCI-DSS。我不完全确定“处理”这些信息的起点和终点。
【问题讨论】:
【参考方案1】:PCI/DSS 在 2014 年进行了更新(要求在 2015 年 1 月成为强制性要求),以处理像 Stripe 使用的服务机制,以更严格的自我评估问卷 (SAQ A-EP V3) 的形式描述为:
新的 SAQ 以解决适用于电子商务商家的要求 网站本身不接收持卡人数据,但 确实会影响支付交易的安全性和/或 接受消费者持卡人数据的页面的完整性。 内容符合 PCI DSS v3.0 要求和测试程序。
这清楚地表明了合规性是必需的。
【讨论】:
【参考方案2】:您的用例听起来与 Stripe 的类似,他们说您需要在页面上使用 SSL,否则可以自我证明合规性。
https://support.stripe.com/questions/do-i-need-to-be-pci-compliant-what-do-i-have-to-do
不过,您可能需要咨询审计师并获得他们的正式意见。
【讨论】:
以上是关于为请求用户信用卡信息的表单提供服务的服务器是不是需要符合 PCI 标准的主要内容,如果未能解决你的问题,请参考以下文章
配置错误 说明: 在处理向该请求提供服务所需的配置文件时出错.
在 PayPal 网站(而不是我自己的托管网站)上输入信用卡详细信息