我有一个表单,我收集信用卡信息,通过https线发送到我的服务器。在服务器中,我使用Stripe PHP库生成令牌并将其存储在我的数据库中。您能否建议我是否遵循PCI兼容或网络上是否有任何PCI检查表?
谢谢, Raja K
答案 0 :(得分:0)
简而言之,不,这不合规。通过将原始卡数据发送到您的服务器,您需要承担最高的PCI合规负担SAQ D。 SAQ D是所有SAQ中最繁重的,需要超过40页的要求才能保持PCI兼容。
最简单的PCI合规级别是预填充SAQ A,如果您使用Stripe的前端库来标记卡数据,则可以使用它。我建议您查看Checkout或Elements,看看它们是否符合您的需求。
使用Checkout或Elements,Stripe的库会为您标记卡片,您可以将该令牌发送到您的服务器以产生费用。这意味着PCI合规性标准不再适用于您的服务器,因为它们不包含敏感的卡数据。
在此处使用Stripe时,您可以阅读有关不同级别的PCI合规性的更多信息: https://stripe.com/docs/security#validating-pci-compliance