取得 VPS PCI 合规性
Making a VPS PCI Compliance
提前致歉,因为这个问题已经被问过很多次了。这是我第一次使用 PCI,我不知道从哪里开始。我读了很多书,但没能掌握这个过程。
我也经历了所有这些,我得到了相互矛盾的回应,我希望有人能够指导我正确的方向。
我正在开发一个简单的异地结帐页面,该页面将接受付款,然后将用户重定向回他们来自的地方。该页面是使用 Zend Framework 1.12 构建的,我使用 PayPal Website Payments pro(使用 REST API)来处理卡支付。
使用支付网关的用户将能够在现场或通过访问 PayPal 的网站进行支付。只存储 xxxx-xxxx-xxxx-1111 格式的卡号、卡名和有效期。商户等级为4级
我的问题是:
- 我可以使 VPS PCI 兼容吗? (对此有相互矛盾的回答)
- 我应该安装什么 SSL 证书(SSL 或 TLS)?
- 而且我正在考虑购买扫描服务并修复报告中突出显示的漏洞。我还需要做其他事情吗? (大多数其他要求,如网络、防火墙将由 VPS 提供商处理)
- 我是否必须向 PCI 或其他任何人提交任何文件以告知他们我的状态?
- 如果我不使用现场支付。例如,将他们重定向到 PayPal 的网站就不必担心 PCI,对吗?
再次道歉,因为这是一个基本问题,但我真的很困惑,非常感谢你的帮助。
只有 QSA 才能为您的问题提供明确的答案,但我可以让您了解我对 PCI 要求的理解。
如果您计划使用 API,那么您将至少打开 SAQ A-EP 的范围,如果 CC 数据接触到您的服务器,那么您可能需要完成 SAQ D . 如果可以的话,你真的想避免这种情况。不能使用 iFrame 或重定向吗?如果是这样,您也许可以通过 SAQ A 逃脱,这将有很大帮助。我不确定 Paypal 提供什么,但 Braintree 有一个不错的 iframe 解决方案,可以连接到 Paypal 或者你可以使用像 Spreedly 这样的服务。
是的,您可以使用 VPS,使用符合 PCI 标准的提供商,如 AWS 或 Google Cloud。利用他们的合规性来缩小您的 PCI 范围。
V3.1 的 PCI 要求说你不能使用 SSL v3 或更低版本,所以 TLS 是可行的方法,不知道为什么你会使用旧版本,如果它是新的建造。如果不清楚,TLS 基本上是 SSL 的新版本。
如果您符合 SAQ A 的条件,那么您可能不需要进行扫描,尽管这样做仍然是个好主意。如果您不符合 SAQ A 的条件,那么即使使用符合 PCI 的 VPS,您也要对防火墙等负责,这会成为一个滑坡,最好避免。
谁要求您符合 PCI 标准? PCI 只是合同规定的(尽管最好仔细检查一下),一般来说,商业银行会让您签署一份协议,说明您需要符合 PCI 标准,他们可能会或可能不会检查情况是否如此。如果您执行 SAQ,则无需将其提交给任何人,只需提交给提出要求的人(如银行),您还需要保留和更新提供商的 PCI 合规性副本(如 VPS 供应商).
如果无论如何都涉及信用卡,那么你几乎肯定需要 PCI,你最好的希望是 SAQ A,似乎几乎每个人都忽略了这一点,但如果事情进展,你就是那个冒险的人错了,任何罚款等都将转嫁给您(同样,这取决于您同意的条款)。
查看 PCI 委员会网站,那里有电子商务网站指南和所有 SAQ 表格等。祝你好运!
提前致歉,因为这个问题已经被问过很多次了。这是我第一次使用 PCI,我不知道从哪里开始。我读了很多书,但没能掌握这个过程。
我也经历了所有这些,我得到了相互矛盾的回应,我希望有人能够指导我正确的方向。
我正在开发一个简单的异地结帐页面,该页面将接受付款,然后将用户重定向回他们来自的地方。该页面是使用 Zend Framework 1.12 构建的,我使用 PayPal Website Payments pro(使用 REST API)来处理卡支付。
使用支付网关的用户将能够在现场或通过访问 PayPal 的网站进行支付。只存储 xxxx-xxxx-xxxx-1111 格式的卡号、卡名和有效期。商户等级为4级
我的问题是:
- 我可以使 VPS PCI 兼容吗? (对此有相互矛盾的回答)
- 我应该安装什么 SSL 证书(SSL 或 TLS)?
- 而且我正在考虑购买扫描服务并修复报告中突出显示的漏洞。我还需要做其他事情吗? (大多数其他要求,如网络、防火墙将由 VPS 提供商处理)
- 我是否必须向 PCI 或其他任何人提交任何文件以告知他们我的状态?
- 如果我不使用现场支付。例如,将他们重定向到 PayPal 的网站就不必担心 PCI,对吗?
再次道歉,因为这是一个基本问题,但我真的很困惑,非常感谢你的帮助。
只有 QSA 才能为您的问题提供明确的答案,但我可以让您了解我对 PCI 要求的理解。
如果您计划使用 API,那么您将至少打开 SAQ A-EP 的范围,如果 CC 数据接触到您的服务器,那么您可能需要完成 SAQ D . 如果可以的话,你真的想避免这种情况。不能使用 iFrame 或重定向吗?如果是这样,您也许可以通过 SAQ A 逃脱,这将有很大帮助。我不确定 Paypal 提供什么,但 Braintree 有一个不错的 iframe 解决方案,可以连接到 Paypal 或者你可以使用像 Spreedly 这样的服务。
是的,您可以使用 VPS,使用符合 PCI 标准的提供商,如 AWS 或 Google Cloud。利用他们的合规性来缩小您的 PCI 范围。
V3.1 的 PCI 要求说你不能使用 SSL v3 或更低版本,所以 TLS 是可行的方法,不知道为什么你会使用旧版本,如果它是新的建造。如果不清楚,TLS 基本上是 SSL 的新版本。
如果您符合 SAQ A 的条件,那么您可能不需要进行扫描,尽管这样做仍然是个好主意。如果您不符合 SAQ A 的条件,那么即使使用符合 PCI 的 VPS,您也要对防火墙等负责,这会成为一个滑坡,最好避免。
谁要求您符合 PCI 标准? PCI 只是合同规定的(尽管最好仔细检查一下),一般来说,商业银行会让您签署一份协议,说明您需要符合 PCI 标准,他们可能会或可能不会检查情况是否如此。如果您执行 SAQ,则无需将其提交给任何人,只需提交给提出要求的人(如银行),您还需要保留和更新提供商的 PCI 合规性副本(如 VPS 供应商).
如果无论如何都涉及信用卡,那么你几乎肯定需要 PCI,你最好的希望是 SAQ A,似乎几乎每个人都忽略了这一点,但如果事情进展,你就是那个冒险的人错了,任何罚款等都将转嫁给您(同样,这取决于您同意的条款)。
查看 PCI 委员会网站,那里有电子商务网站指南和所有 SAQ 表格等。祝你好运!