使用条纹处理信用卡付款并将客户付款和信息存储在 mysql 数据库中。仅存储交易 ID 和客户 ID。Stripe 承担 PCI 合规性问题的主要工作。目前,我们正在通过 SSL 提供内容并使用 Stripes 安全 Stripe.js 连接来实现 PCI 合规性。
我们一直将付款隔离到托管数据库和付款网站的单个框中。
我的问题是,如果我转移到远程托管数据库(如 Amazon RDS),并继续在此服务器或托管 PaaS 上托管网站,如果我不存储信用卡信息,而只存储指向 Stripes 记录的指针,这会改变 pci 合规性吗?我需要考虑什么,或者我可以像现在一样继续使用 php mysqli 连接,只使用远程连接字符串而不是 localhost?会阻止除 Web 主机之外的所有 ip 访问数据库。
仍将通过 SSL 提供网站内容并使用 stripe.js。唯一需要改变的是将数据库和网站分离到不同的服务器上。
答案1
https://stripe.com/us/help/faq#my-pci-requirements
接受信用卡付款的任何人都必须符合 PCI 标准 - 但使用 Stripe,这很容易:
- 通过 SSL 提供您的支付页面,即页面的网址应以“https”开头,而不是“http”。
- 使用 Stripe.js 作为您接受付款信息并将其直接传输到 Stripe 服务器的唯一方式。
通过采取这些步骤,您可以完全避免处理敏感的卡数据,并使您的系统脱离 PCI 范围。
无论您将数据库放在哪里,存储 Stripe 令牌均不受 PCI 保护,因此您可以放心使用。
如果您存储卡数据,我认为 RDS 无法符合要求,因为您无法加密运行它的磁盘。您需要构建自己的 EC2 实例并遵循所有其他规则。