當第三方(如Paypal)處理卡詳細信息時,適用於PCI-DSS等電子商務合規性的哪種形式?第三方處理卡細節時的電子商務合規性
上午建立了一個使用PayPal Express的定製購物車系統,所以卡的細節從未打過我的服務器。但是,我確實保留了客戶的詳細信息,因此,在代碼和硬件級別的遵從性必須或應該遵守什麼?
當第三方(如Paypal)處理卡詳細信息時,適用於PCI-DSS等電子商務合規性的哪種形式?第三方處理卡細節時的電子商務合規性
上午建立了一個使用PayPal Express的定製購物車系統,所以卡的細節從未打過我的服務器。但是,我確實保留了客戶的詳細信息,因此,在代碼和硬件級別的遵從性必須或應該遵守什麼?
根據PCI DSS,只有當客戶信息與PAN(又名信用卡號碼)一起存儲時,您才需要對其進行加密。由於您不存儲或處理PAN,因此您無需做任何額外的工作。
參見第5頁上的PCI DSS:
https://www.pcisecuritystandards.org/security_standards/pci_dss_download.html
如果信用卡數據永遠不會命中的物理服務器(包括RAM由於表單POST),那麼PCI-DSS不適用。將信用卡處理外包給兼容的第三方是迄今爲止您自己遵守的最簡單的方法。
如果它不接觸你的服務器,那麼不要擔心。我仍然會爲您的客戶信息添加某種保護措施,但這不屬於PCI。 – 2009-12-16 17:26:10