【发布时间】:2017-10-25 01:15:31
【问题描述】:
我有一个表格,用于收集信用卡信息,通过 https 线路将其发送到我的服务器。在服务器中,我使用 Stripe PHP 库生成令牌并将其存储在我的数据库中。您能否建议我是否遵循 PCI 合规或网络上有任何可用的 PCI 清单?
谢谢, 拉贾K
【问题讨论】:
标签: stripe-payments
【发布时间】:2017-10-25 01:15:31
【问题描述】:
简而言之,不,这不合规。通过将原始卡数据发送到您的服务器,您将承担 PCI 合规性的最大负担,SAQ D。 SAQ D 是所有 SAQ 中最繁重的,您必须执行超过 40 页的要求才能保持 PCI 合规性。
最简单的 PCI 合规级别是预填充 SAQ A,如果您使用 Stripe 的前端库来标记卡数据,则可以使用它。我建议您查看Checkout 或Elements,看看它们是否符合您的需求。
使用 Checkout 或 Elements,Stripe 的库将为您标记一张卡片,您可以将该标记发送到您的服务器以创建费用。这意味着 PCI 合规标准不再适用于您的服务器,因为它们不包含敏感的卡数据。
您可以在此处阅读有关使用 Stripe 时不同级别的 PCI 合规性的更多信息: https://stripe.com/docs/security#validating-pci-compliance
【讨论】: