如何处理我的服务器上的信用卡信息
How to handle credit card information on my server
我的公司想要启动一个基于订阅的网站,我正在使用支付网关来实现它。
问题是,这个支付网关没有给我任何工具来在客户的信用卡信息到达我们的服务器之前对其进行加密。
所以我的问题是,我应该如何处理这些非常敏感的信息?
我不打算存储它或任何东西,只是将它直接从服务器发送到支付网关进行验证。
我们甚至可以处理纯文本信用卡信息吗?
我知道这是一个非常开放的主题,我只想找到一个我可以阅读和了解更多关于这个问题的地方。
您几乎肯定需要 pci 合规性,并且根据您描述的设置,您将需要范围最广的评估。不是你想要轻松接近的东西。
如果您已经制定了行业标准安全性,那么它应该不会成为 PCI 合规性的一大飞跃,但大多数人并没有这样做。一般来说,采取的方法是缩小范围,您可以使用第三方产品(如 iframe 或重定向)来做到这一点,像 Stripe 这样的公司提供解决方案来做到这一点。在这种情况下,您可能可以使用 SAQ A,否则您可能需要 SAQ D。这也取决于您的数量,如果它们更高,您将需要一份合规性报告 (roc),这可能很昂贵并且每年都需要。
您可以与您的商业银行交谈,因为他们通常需要合规。如果您的服务尚未上线,它们可能会很有帮助。
查看 pci council website,那里有大量信息可以帮助您入门。
我的公司想要启动一个基于订阅的网站,我正在使用支付网关来实现它。
问题是,这个支付网关没有给我任何工具来在客户的信用卡信息到达我们的服务器之前对其进行加密。
所以我的问题是,我应该如何处理这些非常敏感的信息?
我不打算存储它或任何东西,只是将它直接从服务器发送到支付网关进行验证。
我们甚至可以处理纯文本信用卡信息吗?
我知道这是一个非常开放的主题,我只想找到一个我可以阅读和了解更多关于这个问题的地方。
您几乎肯定需要 pci 合规性,并且根据您描述的设置,您将需要范围最广的评估。不是你想要轻松接近的东西。
如果您已经制定了行业标准安全性,那么它应该不会成为 PCI 合规性的一大飞跃,但大多数人并没有这样做。一般来说,采取的方法是缩小范围,您可以使用第三方产品(如 iframe 或重定向)来做到这一点,像 Stripe 这样的公司提供解决方案来做到这一点。在这种情况下,您可能可以使用 SAQ A,否则您可能需要 SAQ D。这也取决于您的数量,如果它们更高,您将需要一份合规性报告 (roc),这可能很昂贵并且每年都需要。
您可以与您的商业银行交谈,因为他们通常需要合规。如果您的服务尚未上线,它们可能会很有帮助。
查看 pci council website,那里有大量信息可以帮助您入门。