我正在创建一个“普通”电子商务网站(如果有必要的话,使用 drupal 和 ubercart)。我以前读过关于 pci 合规性的文章,这就是为什么我想知道如何才能看到哪些适用于我的情况。我可能会使用“rackspace 云服务器”,尽管我们最终可能会使用亚马逊云。只要我有一个有效的 SSL 证书并且不将信用卡存储在我的服务器上,似乎就不应该有任何要求。如果我使用 authorize.net 或类似的东西,似乎大部分合规性将由他们负责。
我什么时候需要了解更多信息?(在我选择主机并准备好服务器之前)
我如何了解更多?
有什么一般性的建议/提示吗?
答案1
我的建议(经过全面 PCI 合规性审计)是使用第三方支付处理器,除非您拥有大量业务、专业知识和内部人力。这应该可以减少您接触 SAQ-A 的机会,这意味着您只需填写一份调查问卷即可。
如果您在现场处理卡片(即通过您的软件/服务器/网络等),那么您很可能是 SAQ-C,并且您需要经过一系列的麻烦。
发现支付处理器符合 PCI 标准的公司将对交易负全部责任。即,您将重定向到他们的网站以提供付款。
哪些支付处理器符合 PCI 标准、与您的位置相关、您想要处理的卡类型等,这些可能对您来说非常具体。这是您自己的研究任务。
答案2
如果您自己处理信用卡号,则仅需要 PCI。明智的选择是将与信用卡及其数据处理有关的所有事务留给您的 PSP(支付服务提供商),并且只在您自己的站点上处理客户姓名/地址等。