提供请求用户信用卡信息的表单的服务器是否需要符合 PCI
Does a server that serves a form requesting a user's credit card information need to be PCI compliant
我正在构建一个新的 Web 应用程序,该应用程序提供一个请求用户卡信息的表单。提交此表单会将 post 表单数据发送到另一个完全符合 PCI-DSS 的应用程序。
向用户提供表单的应用程序是否也需要符合 PCI-DSS,即使我不在该应用程序中读取卡信息?
据我简短的谷歌搜索显示,"handles" 卡信息的任何应用程序似乎都需要符合 PCI-DSS。我不完全确定 "handling" 该信息的开始和结束位置。
您的用例听起来与 Stripe 的相似,他们说您需要在您的页面上使用 SSL,但除此之外可以自行证明合规性。
https://support.stripe.com/questions/do-i-need-to-be-pci-compliant-what-do-i-have-to-do
不过,您可能需要咨询审计员并从他们那里获得正式意见。
PCI/DSS 于 2014 年更新(要求于 2015 年 1 月成为强制性要求)以处理类似 stripe 以更严格的自我评估问卷形式使用的服务机制(SAQ A-EP V3 ) 描述为:
New SAQ to address requirements applicable to e-commerce merchants
with a websites that do not themselves receive cardholder data but
which do affect the security of the payment transaction and/or the
integrity of the page that accepts the consumer’s cardholder data.
Content aligns with PCI DSS v3.0 requirements and testing procedures.
这表明合规性是必需的。
我正在构建一个新的 Web 应用程序,该应用程序提供一个请求用户卡信息的表单。提交此表单会将 post 表单数据发送到另一个完全符合 PCI-DSS 的应用程序。
向用户提供表单的应用程序是否也需要符合 PCI-DSS,即使我不在该应用程序中读取卡信息?
据我简短的谷歌搜索显示,"handles" 卡信息的任何应用程序似乎都需要符合 PCI-DSS。我不完全确定 "handling" 该信息的开始和结束位置。
您的用例听起来与 Stripe 的相似,他们说您需要在您的页面上使用 SSL,但除此之外可以自行证明合规性。
https://support.stripe.com/questions/do-i-need-to-be-pci-compliant-what-do-i-have-to-do
不过,您可能需要咨询审计员并从他们那里获得正式意见。
PCI/DSS 于 2014 年更新(要求于 2015 年 1 月成为强制性要求)以处理类似 stripe 以更严格的自我评估问卷形式使用的服务机制(SAQ A-EP V3 ) 描述为:
New SAQ to address requirements applicable to e-commerce merchants with a websites that do not themselves receive cardholder data but which do affect the security of the payment transaction and/or the integrity of the page that accepts the consumer’s cardholder data. Content aligns with PCI DSS v3.0 requirements and testing procedures.
这表明合规性是必需的。