提前道歉,因为这个问题已经被问了很多次了。这是我第一次使用PCI,我不知道从哪里开始。我读了很多书,但没能领会这个过程。
我也经历了所有这些,我得到了相互矛盾的回应,我希望有人能引导我朝着正确的方向前进。
我正在开发一个简单的异地结账页面,该页面将接受付款,然后将用户重定向回他们的原籍。该页面是使用Zend Framework 1.12构建的,我使用PayPal网站支付专业版(带有REST API)来处理卡支付。
使用支付网关,用户将能够在网站上或通过PayPal的网站进行支付。只存储xxxx-xxxx-xxxx-1111格式的卡号、卡名和有效期。商户级别将为4级。
我的问题是:
- 我可以使VPS PCI兼容吗?(对此得到了相互矛盾的答案)
- 我应该安装什么SSL证书(SSL或TLS)
- 我正在考虑购买一项扫描服务,并修复报告中强调的漏洞。我还要做别的事吗?(大多数其他要求,如网络、防火墙,将由VPS提供商处理)
- 我是否必须向PCI或任何其他人提交任何文件,告知他们我的状态
- 如果我不使用现场付款。例如,将他们重定向到PayPal的网站不必担心PCI,对吗
再次道歉,因为这是一个基本问题,但我真的很困惑,并将感谢你的帮助。
只有QSA才能为您的问题提供明确的答案,但我可以让您知道我对PCI要求的理解。
如果你计划使用API,那么你会将你的范围开放到最低SAQ a-EP,如果CC数据接触到你的服务器,那么你可能需要完成SAQ d。如果可以的话,你真的想避免这种情况。可以不使用iFrame或重定向吗?如果是这样的话,你也许可以逃脱SAQ A的惩罚,这将有很大帮助。我不确定Paypal提供了什么,但Braintree有一个可爱的iframe解决方案,可以连接到Paypal,也可以使用像Spredly这样的服务。
-
是的,你可以使用VPS,使用符合PCI标准的提供商,如AWS或谷歌云。利用它们的合规性来减少您的PCI范围。
-
PCI的V3.1要求说你不能使用SSL V3或更低版本,所以TLS是可行的,不确定如果是新版本,为什么要使用旧版本。TLS基本上是SSL的新版本,如果这还不清楚的话。
-
如果你有资格参加SAQ A,那么你可能不需要扫描,尽管这样做仍然是个好主意。如果你没有资格参加SAQ A,那么即使使用符合PCI标准的VPS,你也要负责防火墙等,这将是一个滑坡,最好避免。
-
谁要求您符合PCI标准?PCI只是合同性的(最好仔细检查一下),通常商业银行会让你签署一份协议,说你需要符合PCI,他们可能会也可能不会检查。如果你进行SAQ,你不需要将其提交给任何人,只需要提交给要求的人(如银行),你还需要保留和更新你的提供商(如VPS提供商)的PCI合规性副本。
-
如果信用卡参与其中,那么你几乎肯定需要PCI,你最大的希望是SAQ A,似乎每个人都忽略了这一点,但如果出现问题,任何罚款等都会转嫁给你,你将承担风险(同样,这取决于你同意的条款)。
查看PCI理事会网站,有电子商务网站指南和所有SAQ表格等。祝你好运!