我的公司想要创建一个基于订阅的网站,我正在使用支付网关来实现它。
问题是,这个支付网关没有给我任何工具来在客户的信用卡信息到达我们的服务器之前对其进行加密。
所以我的问题是,我应该如何处理这些非常敏感的信息?
我不打算存储它或任何东西,只是将它直接从服务器发送到支付网关进行验证。
我们甚至可以处理纯文本信用卡信息吗?
我知道这是一个非常开放的主题,我只是想找到可以阅读和了解更多关于这个问题的地方。
【问题讨论】:
标签: security payment-gateway pci-compliance
您几乎肯定需要 pci 合规性,并且根据您描述的设置,您将需要范围最广的评估。不是你想轻松接近的东西。
如果您已经拥有行业标准的安全性,那么它应该不会是 PCI 合规性的一大飞跃,但大多数人都没有。通常采取的方法是缩小范围,您可以使用 iframe 或重定向等第三方产品来做到这一点,Stripe 等公司提供解决方案来做到这一点。在这种情况下,您可能能够摆脱 SAQ A,否则您可能需要 SAQ D。这也取决于您的数量,如果它们更高,您将需要一份合规性报告 (roc),这可能很昂贵而且每年都需要。
您可以与您的商业银行交谈,因为他们通常需要合规。假设您的服务未上线,它们可能会很有帮助。
查看pci council website,那里有大量信息可以帮助您入门。
【讨论】: