我只是希望能够使用Stripe的PHP SDK来验证信用卡信息,而且我根本不打算在我的系统中存储CC信息。我唯一想保存的东西是一个布尔值,表示有效/无效。
如果CC号只有通过我的服务器,我还需要完全PCI兼容吗?还是SSL就足够了?无论您如何处理信用卡信息,都要求您符合PCI标准。改变什么是PCI投诉所需要的。这取决于您处理多少事务以及如何处理这些事务。因此,处理更少的交易并且从不接触卡的详细信息意味着比处理100万笔交易并存储卡的详细信息更容易符合PCI标准。
使用Stripe,您通常必须符合每个PCI SAQ A,但是这假设您正在使用Stripe.js或Stripe Checkout来获得卡令牌的正常路线。这是大约12页的文件,Stripe甚至为你预先填写好了。如果你决定你的服务器应该获得卡片数据,即使它对数据什么都不做,或者只是把它传递给Stripe而不存储它,你就会陷入PCI SAQ D,这是大约80页的文书工作,确保服务器完全是PCI投诉(其审计,密码更改,在安全的数据中心,等等)。