符合 PCI 标准的托管？（可以接受信用卡）

几个月前，我为我的一家小型非营利组织调查了 PCI 合规流程。目前，PCI 合规流程是一个骗局。对于任何小型企业来说，无论是否使用 PCI 合规数据中心，都几乎不可能遵守 PCI 认证流程。

归根结底，信用卡行业正试图扼杀过去 30 年来不断发展壮大的庞大行业。PCI 合规流程旨在迫使企业使用主流信用卡处理器来处理任何信用卡交易，确保任何信用卡信息永远不会落入最终商家（或计算机）手中。

方式PayPal 支付流专业版流程的工作原理是，您的客户在您的网站上下订单，然后他们被转发到 PayPal 的付款网页（根据您的喜好定制）以实际输入付款，然后网关向您的网站发回“OK”，表示付款已被处理。

这与过去的情况不同，过去的情况是他们会在你的网站上输入信用卡信息，然后你将这些信息传递给商家网关，然后商家网关会给你的网站颁发许可。还有其他商家处理器可以做同样的事情，例如授权网和Google 付款。

这一变化意味着您的网站和托管服务器不需要符合 PCI 标准，因为信用卡信息从未通过它。希望这不会让人觉得他们是在咆哮，但他们实施 PCI 的方式，以及用 PCI 合规性来“吓唬”客户，并在此过程中收取费用的方式，简直就是一个笑话。

你会发现有很多公司愿意向你出售 PCI 合规服务（甚至在这个网站上），但在我看来，这只不过是骗人的把戏。

@克里斯托弗

我完全同意你的观点。我害怕关闭一家我甚至还没有开的店！直到我查看了 PCI 合规网站（https://www.pcisecuritystandards.org/index.shtml) 我自己。我对大公司如何吓唬小企业为这些 PCI 合规解决方案付费感到厌恶。PCI 合规不是法律（http://www.pcicomplianceguide.org/pcifaqs.php#23)，但在一个州（马萨诸塞州）有，而且没有其他州积极推动 PCI 合规性法律。除此之外，还有一个简单的 12 步骤检查表来确保 PCI 合规性。其中包括不存储信用卡信息、在服务器上安装防火墙等。有些托管解决方案在服务器上免费提供防火墙和安全软件。另外，您说得对，如果您使用支付服务提供商，只要您的网站不处理或存储任何卡信息，他们就有责任遵守 PCI 合规性。人们用来吓唬小企业的费用和监禁只适用于客户因您违反规定而受到损害的情况。如 PCI DSS 官方网站所述（https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml)，商家可以按照以下步骤被视为符合 PCI 标准，然后进行自我评估问卷调查和安全扫描（这应该是免费的）：

要求 1：
安装并维护防火墙配置以保护持卡人数据
要求2：
不要使用供应商提供的系统密码和其他安全参数的默认设置
要求 3：
保护存储的持卡人数据
要求4：
在开放的公共网络上加密传输持卡人数据
要求 5：
使用并定期更新防病毒软件
要求6：
开发和维护安全系统和应用程序
要求 7：
根据业务需要限制对持卡人数据的访问
要求 8：
为每个有计算机访问权限的人分配一个唯一的 ID
要求 9：
限制对持卡人数据的物理访问
要求 10：
跟踪和监控对网络资源和持卡人数据的所有访问
要求 11：
定期测试安全系统和流程
要求 12：
维护解决信息安全的政策

此外，仅拥有符合 PCI 标准的购物车并不意味着商家符合 PCI 标准。PCI 合规性更多是服务器/数据库问题。

我同意。既然信用卡公司正在推动 PCI 合规性走向法律化，他们就应该免费提供扫描和解决方案。在我看来，信用卡公司为 Norton、McAfee、CA 等安全公司创造了新的收入来源，而且名单还在不断增加。我们不需要他们强迫我们遵守他们的合规性，这对我们经营的小型企业来说是成本过高的。毕竟……正是小型企业为信用卡巨头创造了巨额收入。

那么谁真正从合规中受益？

大多数电子商务商店都在尽最大努力确保安全。现在开始互相指责。是托管公司、是银行、是信用卡巨头。现实表明，是骗子入侵了我们的网站。谁来让他们遵守规定？

我是不是忘了说律师=游说者和其他人会以其他方式从这场骗局中获益。而我们却被困住了。

实现 PCI 合规性可能成本高昂且耗时。根据 Ponemon Institute 于 2010 年 3 月进行的一项研究，获得初步合规性的平均 PCI 审计成本在 250,000 至 500,000 美元之间。许多公司第一次审计失败，但通过与提供 PCI 托管解决方案的提供商合作，您可以避免费用和审计。事实上，它仍然很昂贵，正如所提到的，它是信用卡交易安全的行业标准要求的一部分。