【问题标题】:PCI Compliance Website ConfusionPCI合规性网站混乱
【发布时间】:2015-05-02 17:33:25
【问题描述】:
我有一个我认为很简单的问题,但我很难找到权威的答案...如果我在我的网站上使用 Stripe 作为支付网关,如果我有一个专用的 IP 地址、SSL 并正确使用 Stripe我需要通过 PCI 合规检查吗?换句话说,我是否需要让某个组织真正检查我的网站并确保它是合规的,或者我可以安全地不检查吗?
【问题讨论】:
标签:
security
payment-gateway
stripe-payments
pci-compliance
【解决方案1】:
在支付页面期间,如果您的应用程序正在获取卡信息并通过 API 或类似方式将其传递给 Stripe,那么您需要符合 PCI。
例如,如果您的 /payment 页面直接转到 Stripe 或 Paypal 页面,那么您不需要符合 PCI 规定。
简而言之,如果卡信息通过您的服务器/网络传递,那么您必须遵守 :)
【解决方案2】:
您需要填写 PCI DSS SAQ A v3 并将其存档。这只是一个自我证明,是大多数人刚开始在一定数量下使用的,基本上只是声明您不处理任何信用卡信息。一旦您获得一定程度的交易量,Visa 将需要额外的东西,例如笔测试或 QSA 来验证这一点,在这种情况下,您的信用卡处理器(因为他们与银行和 Visa 有协议)会让你知道还需要什么。