为请求用户信用卡信息的表单提供服务的服务器是不是需要符合 PCI 标准

Posted 2023-02-22

【中文标题】为请求用户信用卡信息的表单提供服务的服务器是不是需要符合 PCI 标准

【英文标题】：Does a server that serves a form requesting a user's credit card information need to be PCI compliant为请求用户信用卡信息的表单提供服务的服务器是否需要符合 PCI 标准

【发布时间】：2015-03-04 09:24:55

【问题描述】：

我正在构建一个新的 Web 应用程序，它提供一个请求用户卡信息的表单。提交此表单会将表单数据发布到另一个完全符合 PCI-DSS 的应用程序。

向用户提供表单的应用程序是否也需要符合 PCI-DSS，即使我没有读取该应用程序中的卡信息？

据我简短的谷歌搜索显示，似乎任何“处理”卡信息的应用程序都需要符合 PCI-DSS。我不完全确定“处理”这些信息的起点和终点。

【参考方案1】：

PCI/DSS 在 2014 年进行了更新（要求在 2015 年 1 月成为强制性要求），以处理像 Stripe 使用的服务机制，以更严格的自我评估问卷 (SAQ A-EP V3) 的形式描述为：

新的 SAQ 以解决适用于电子商务商家的要求 网站本身不接收持卡人数据，但 确实会影响支付交易的安全性和/或 接受消费者持卡人数据的页面的完整性。 内容符合 PCI DSS v3.0 要求和测试程序。

这清楚地表明了合规性是必需的。

【参考方案2】：

您的用例听起来与 Stripe 的类似，他们说您需要在页面上使用 SSL，否则可以自我证明合规性。

https://support.stripe.com/questions/do-i-need-to-be-pci-compliant-what-do-i-have-to-do

不过，您可能需要咨询审计师并获得他们的正式意见。