php - 信用卡信息，必须采取哪些安全措施？

Question

我们不存储任何信用卡信息。它通过 HTML 表单收集，然后由使用 Intuit 的 API 对信用卡收费的 PHP 脚本进行处理。调用API对卡进行充值后，所有信用卡信息被销毁。

以下是我关于信用卡信息安全的问题:

• 我认为 SSL 是必须的。这是正确的吗？
• 我应该从共享主机切换到专用服务器吗？
• 我假设没有不容易不可逆的加密放置在 HTML 表单和 PHP 脚本之间，进行任何加密需要用于我正在尝试做的事情吗？

如果您还有其他想法，请分享。感谢大家的宝贵时间。

Answer 1

I assume SSL is a must. Is this correct?

是的，正确。

Should I switch from shared hosting to a dedicated server?

VPS 至少是个好主意。您可能无法在共享主机上成功地实现 PCI 兼容，您只是没有足够的控制权来按照 PCI 的要求锁定您的服务器。

I assume there is no encryption that isn't easily un-reversible that can take place between the HTML form and the PHP script, does any encryption need to be used for what I'm trying to do?

您的 API 应该会处理这个问题。确保 API 也通过 SSL/安全连接。

请阅读 PCI 要求。您正在传输持卡人数据，因此您需要符合 PCI 标准。您将处于“最低级别”的合规性(我认为是 C 或 D)。您还需要对服务器 IP 进行季度扫描以证明合规性。仅供引用，我为此使用 McAffee Secure。

您不受 PCI 规则约束的唯一方法是持卡人的数据输入到其他人的服务器(想想:paypal)。每当您通过 paypal 付款时，您都会被传输到 PayPal 的服务器，然后再传输回来。在该方案中，您无需遵守规定。

现在很多 PCI 要求都谈到了一些不适用于调查问卷的内容(例如，您的服务器是否存储在安全的地方，您的建筑物的物理安全性如何等......) - 好消息是您的服务器/托管公司应该处理这个问题。

在您进行网络扫描后，它会列出一份让您不合规的事项列表。它们几乎总是与服务器相关的问题。您可以自己修复它们，也可以请房东帮助您 - 如果您将列表发送给他们，大多数房东都会这样做。您将无法在共享主机上修复其中的很多问题。