提前道歉,因为这个问题被多次提出过。这是我第一次使用PCI,我不知道从哪里开始。我已经做了很多阅读,但没有设法掌握这个过程。
我也经历了所有这些,我的反应相互矛盾,我希望有人能指导我朝正确的方向发展。
我正在制作一个简单的异地结帐页面,该页面将接受付款,然后将用户重定向回他们来自的地方。该页面使用Zend Framework 1.12构建,我使用PayPal网站支付专业版(使用REST API)来处理卡支付。
使用支付网关,用户可以在网站上或通过访问PayPal的网站进行支付。仅存储xxxx-xxxx-xxxx-1111格式的卡号,卡名和有效期。商家级别为4级。
我的问题是:
再次道歉,因为这是一个基本问题,但我真的很困惑,非常感谢你的帮助。
答案 0 :(得分:2)
只有QSA可以为您提供明确的问题答案,但我可以让您了解我对PCI要求的理解。
如果您打算使用API,那么您可以将范围打开至最低SAQ A-EP,如果CC数据触及您的服务器,那么您可能需要完成SAQ D.您真的要避免如果可以的话。你不能使用iFrame或重定向吗?如果是这样,你可以逃脱SAQ A,这将有助于很多。我不确定Paypal提供什么,但Braintree有一个可以连接到Paypal的甜蜜iframe解决方案,或者你可以使用像Spreedly这样的服务。
是的,您可以使用VPS,使用PCI兼容的提供商,如AWS或Google Cloud。使用它们的合规性来减少PCI范围。
PCI要求的V3.1表示你不能使用SSL v3或更低版本,所以TLS是要走的路,不知道为什么你使用旧版本,如果它是一个新的版本。如果不清楚,TLS基本上是新版本的SSL。
如果您有资格获得SAQ A,那么您可能不需要扫描,但这样做仍然是个好主意。如果您没有资格获得SAQ A,那么即使使用符合PCI标准的VPS,您也要负责防火墙等,它会变得很滑,最好避免使用。
谁要求您遵守PCI? PCI只是合同性的(尽管最好再仔细检查一下),通常商家银行会让您签署一份协议,说明您需要符合PCI标准并且他们可能会或可能不会检查是否属实。如果你做了SAQ,你不需要将它提交给任何人,只有那些要求它的人(比如银行),你还要保留并更新你的提供商的PCI合规性副本(比如VPS)提供者)。
如果信用卡无论如何都要参与,那么你几乎肯定需要PCI,你最好的希望是SAQ A,似乎每个人都忽略了这一点,但如果出现问题,你就是那个承担风险的人,任何罚款等等将传递给你(这又取决于你同意的条款)。
查看PCI理事会网站,有电子商务网站指南和所有SAQ表格等。祝你好运!