gpt4 book ai didi

php - 使 VPS PCI 合规

转载 作者:太空宇宙 更新时间:2023-11-03 15:54:54 26 4
gpt4 key购买 nike

提前致歉,因为这个问题已经被问过很多次了。这是我第一次使用 PCI,我不知道从哪里开始。我读了很多书,但没能掌握这个过程。

我也经历了所有这些,但我得到了相互矛盾的回应,我希望有人能够指导我朝着正确的方向前进。

我正在开发一个简单的异地结帐页面,该页面将接受付款,然后将用户重定向回他们来自的地方。该页面是使用 Zend Framework 1.12 构建的,我使用 PayPal Website Payments pro(带有 REST API)来处理卡支付。

使用支付网关,用户将能够在现场或通过访问 PayPal 的网站进行支付。只存储 xxxx-xxxx-xxxx-1111 格式的卡号、卡名和有效期。商户等级为4级。

我的问题是:

  1. 我可以使 VPS 符合 PCI 标准吗? (对此有相互矛盾的回答)
  2. 我应该安装什么 SSL 证书(SSL 或 TLS)?
  3. 我正在考虑购买扫描服务并修复报告中突出显示的漏洞。我还需要做其他事情吗? (大多数其他要求,如网络、防火墙将由 VPS 提供商处理)
  4. 我是否必须向 PCI 或其他任何人提交任何文件以告知他们我的状态?
  5. 如果我不使用现场付款。例如,将他们重定向到 PayPal 的网站就不必担心 PCI,对吗?

再次道歉,因为这是一个基本问题,但我真的很困惑,非常感谢你的帮助。

最佳答案

只有 QSA 才能为您的问题提供明确的答案,但我可以让您了解我对 PCI 要求的理解。

如果您计划使用 API,那么您至少要将范围扩大到 SAQ A-EP,如果 CC 数据接触到您的服务器,那么您可能需要完成 SAQ D。您真的想避免如果可以的话。不能使用 iFrame 或重定向吗?如果是这样,您也许可以通过 SAQ A 逃脱,这将有很大帮助。我不确定 Paypal 提供什么,但 Braintree 有一个不错的 iframe 解决方案,可以连接到 Paypal,或者您可以使用像 Spreedly 这样的服务。

  1. 是的,您可以使用 VPS,使用符合 PCI 标准的提供商,如 AWS 或 Google Cloud。利用他们的合规性来缩小您的 PCI 范围。

  2. PCI 要求的 V3.1 规定您不能使用 SSL v3 或更低版本,因此 TLS 是可行的方法,不确定如果是新版本为什么要使用旧版本。如果不清楚,TLS 基本上是 SSL 的新版本。

  3. 如果您符合 SAQ A 的条件,那么您可能不需要进行扫描,尽管扫描仍然是一个好主意。如果您不符合 SAQ A 的条件,那么即使使用符合 PCI 标准的 VPS,您也要对防火墙等负责,这会成为一个滑坡,最好避免。

  4. 谁要求您符合 PCI 标准? PCI 只是契约(Contract)规定的(尽管最好仔细检查一下),一般来说,商业银行会让您签署一份协议(protocol),说明您需要符合 PCI 标准,他们可能会或可能不会检查情况是否如此。如果您执行 SAQ,则无需将其提交给任何人,只需将其提交给提出要求的人(如银行),您还需要保留和更新提供商的 PCI 合规性副本(如 VPS提供商)。

  5. 如果无论如何都涉及信用卡,那么您几乎肯定需要 PCI,您最好的希望是 SAQ A,似乎几乎每个人都忽略了这一点,但如果出现问题,您将承担风险,罚款等将传递给您(这同样取决于您同意的条款)。

查看 PCI 委员会网站,那里有电子商务网站指南和所有 SAQ 表格等。祝您好运!

关于php - 使 VPS PCI 合规,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33643193/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com