Я собираю данные кредитной карты из использований в форме, а затем отправляю эти данные формы в платежные шлюзы, такие как PayPal или Braintree.
Форма захвата кредитной карты размещена в SSL (HTTPS) и использует cURL для отправки данных кредитной карты в платежные шлюзы. Поскольку мы не сохраняем данные кредитной карты на нашем сервере, нам нужно подать жалобу PCI, если мы следуют этому сценарию.
Вы не должны этого делать! Форма, которая обрабатывает информацию о кредитной карте, всегда должна указывать на платежный шлюз в качестве цели, чтобы ваш сервер не обрабатывал конфиденциальные данные. Хороший платежный шлюз отправит вам сокращенную версию номера кредитной карты в сочетании со статусом проверки для хранения в вашей базе данных и, возможно, для отображения пользователю в электронных письмах или в административных областях пользователя. Вы также можете использовать javascript, чтобы получить сокращенный номер кредитной карты (и только номер!) из формы и отправить его через ajax на свой сервер перед отправкой формы на шлюз.
Если вы обрабатываете и передаете информацию о кредитной карте, вы должны соответствовать стандарту PCI. Период.
Я согласен с двумя другими ответами, которые опубликованы...
Поскольку у вас есть доступ к конфиденциальным данным, вы действуете как посредник, независимо от того, решите ли вы хранить данные или нет… вы можете… и вам необходимо соблюдать требования.
Если вы передаете их в другую форму, которая не принадлежит вам, например, Paypal / и т. Д., И вы никогда не получаете никаких кредитных данных клиента ... это правильный путь.
Умный подход к соответствию стандарту PCI DSS
Используя наш Transparent Redirect (TR) и Vault, продавцы могут добиться соответствия требованиям PCI за несколько дней. TR и Хранилище исключат обработку, обработку или хранение данных кредитных карт, чтобы вы могли претендовать на Анкету самооценки A, самый короткий из четырех SAQ.
Возможно, вы все еще работаете с конфиденциальными данными. Если кто-то взломает ваш сервер, он может легко перехватить ваши сообщения и завладеть этими данными, т. е. их все равно необходимо должным образом защитить.
Вероятно, вы найдете правильный ответ на веб-сайте PCI.
Короткий ответ: да. Существует несколько уровней соответствия PCI, каждый из которых определяется вашим годовым объемом продаж.
Большинство продавцов совершают менее 20 000 транзакций в год, и это дает некоторую свободу проведения самооценки, чтобы подтвердить, что вы соблюдаете правила. Эта статья, хотя и специфична для Magento, представляет собой действительно хорошее резюме ландшафта.
Ключевым выводом здесь является то, что это должно быть частью вашего основного рабочего процесса.
Ответ: НЕТ, вам НЕ НУЖНО быть совместимым с PCI, если вы не храните данные кредитной карты и не используете безопасный шлюз. Но вам ДЕЙСТВИТЕЛЬНО нужен https, который у вас уже есть.
