如果我的表格包含信用卡号字段,我是否需要符合 PCI 标准
Do I need to be PCI compliant if my form contains credit card number field
我在 SSL 安全网站上有一个表格,其中包含信用卡号及其类型(没有 CCV 也没有到期日期)。当用户提交表单时,会向管理人员发送一封电子邮件,其中包含所有提交的信息。在此过程中数据库中没有存储任何内容。
除了使用 HTTPS 保护网站之外,我还需要做任何其他事情吗?
谢谢!
由于您接受信用卡信息,因此您必须符合 PCI。
来自FAQ:
Q: To whom does PCI apply?
A: PCI applies to ANY organization or merchant, regardless of size or number of transactions, that accepts, transmits or stores any cardholder data. Said another way, if any customer of that organization ever pays the merchant directly using a credit card or debit card, then the PCI DSS requirements apply.
Q: How do I report an organization for violating PCI?
A: Businesses that are found to be out of compliance with PCI may be subject to fines by the entity they use to process their credit card transactions. Businesses that have a data breach where credit card data is actually stolen will be subject to much larger fines and fees from the banks, card brands, etc., and are required to report the breach, which quickly makes the news and causes further reputational damage.
还有这个:
Q: Am I PCI compliant if I have an SSL certificate?
A: No. SSL certificates do not secure a Web server from malicious attacks or intrusions.
如果您要提交任何信用卡信息,那么答案是肯定的!在电子邮件中发送信用卡是一个巨大的禁忌!
- 您可能没有将号码存储在本地服务器上,但它通过电子邮件服务器传输!攻击者可以访问该信息!
- 如果有人更改了表单上的电子邮件地址,那么它可能会转到第三方。这是很不安全的。
- 您永远无法以明文形式发送信用卡号。数字在传输(存储)之前、期间和之后都必须加密;值得注意的是,只有在绝对必要时,才应完整显示完整的卡号。否则您可以显示最后 4 个,但只有在处理业务功能绝对必要时才显示。
- 不仅您的表单需要安全,数字所在的所有硬件和网络也需要安全。
我建议立即下线,并尽快销毁所有电子邮件。然后去阅读 PCI 合规性文档,and/or 考虑使用 PCI 合规支付接口,例如 authorize.net。
我在 SSL 安全网站上有一个表格,其中包含信用卡号及其类型(没有 CCV 也没有到期日期)。当用户提交表单时,会向管理人员发送一封电子邮件,其中包含所有提交的信息。在此过程中数据库中没有存储任何内容。
除了使用 HTTPS 保护网站之外,我还需要做任何其他事情吗?
谢谢!
由于您接受信用卡信息,因此您必须符合 PCI。
来自FAQ:
Q: To whom does PCI apply?
A: PCI applies to ANY organization or merchant, regardless of size or number of transactions, that accepts, transmits or stores any cardholder data. Said another way, if any customer of that organization ever pays the merchant directly using a credit card or debit card, then the PCI DSS requirements apply.
Q: How do I report an organization for violating PCI?
A: Businesses that are found to be out of compliance with PCI may be subject to fines by the entity they use to process their credit card transactions. Businesses that have a data breach where credit card data is actually stolen will be subject to much larger fines and fees from the banks, card brands, etc., and are required to report the breach, which quickly makes the news and causes further reputational damage.
还有这个:
Q: Am I PCI compliant if I have an SSL certificate?
A: No. SSL certificates do not secure a Web server from malicious attacks or intrusions.
如果您要提交任何信用卡信息,那么答案是肯定的!在电子邮件中发送信用卡是一个巨大的禁忌!
- 您可能没有将号码存储在本地服务器上,但它通过电子邮件服务器传输!攻击者可以访问该信息!
- 如果有人更改了表单上的电子邮件地址,那么它可能会转到第三方。这是很不安全的。
- 您永远无法以明文形式发送信用卡号。数字在传输(存储)之前、期间和之后都必须加密;值得注意的是,只有在绝对必要时,才应完整显示完整的卡号。否则您可以显示最后 4 个,但只有在处理业务功能绝对必要时才显示。
- 不仅您的表单需要安全,数字所在的所有硬件和网络也需要安全。
我建议立即下线,并尽快销毁所有电子邮件。然后去阅读 PCI 合规性文档,and/or 考虑使用 PCI 合规支付接口,例如 authorize.net。