这种设置是否符合 PCI DSS?

【问题标题】:Is this set-up PCI DSS compliant?这种设置是否符合 PCI DSS?
【发布时间】:2019-10-31 14:25:17
【问题描述】:

设置:

  1. Mobile 使用Stripe 获取信用卡令牌。
  2. Mobile 将令牌发送到 Server 1
  3. Server 1 使用令牌获取信用卡详细信息。
  4. Server 1 立即加密详细信息并通过 SSL 连接将其发送到 PCI DSS 合规性Server 2

Server 1 是否必须符合 PCI DSS?

【问题讨论】:

    标签: stripe-payments pci-compliance pci-dss


    【解决方案1】:

    您的设置不起作用。您无法从 Stripe 令牌中获取原始信用卡详细信息。即使可以,您仍然需要处理敏感信息并且必须符合 PCI 标准。

    为了让您的流程正常工作,您必须将原始详细信息发送至 Server 1,这会将您置于 PCI 合规性的 SAQ D 类别(最严格的类别):https://stripe.com/docs/security#validating-pci-compliance

    【讨论】:

    • 如何获取信用卡详细信息stripe.com/docs/api/issuing/cards/retrieve_details
    • 这仅适用于通过 Stripe Issuing 创建的虚拟卡,它不适用于真实卡。
    • 即使您可以从 Stripe 令牌中获取卡数据,Server 1 也可以访问原始数据,因此处于 SAQ D 级别 PCI 范围内。
    猜你喜欢
    • 2011-10-31
    • 2020-01-29
    • 1970-01-01
    • 2011-03-23
    • 2012-10-29
    • 2017-05-26
    • 2012-01-18
    • 2021-10-19
    • 2012-05-22
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode