我正在構建一個新的Web應用程序,它提供請求用戶的卡信息的表單。提交此表格將把表格數據發佈到不同的,完全符合PCI-DSS的應用程序。提供請求用戶的信用卡信息的表單的服務器是否需要符合PCI規範
即使我沒有在該應用程序中讀取卡信息,向用戶提供表單的應用程序是否也需要符合PCI-DSS?
就我簡短的Google搜索會話所顯示的,在處理卡信息的任何應用程序中似乎都需要PCI-DSS合規性。我不完全確定「處理」該信息的開始和結束的位置。
PCI/DSS是在2014年更新(與2015年一月成爲強制性要求)來處理被描述爲服務機制,例如,在更嚴格的自我評估問卷(SAQ A-EP V3)的形式使用條紋:
新SAQ解決要求適用於電子商務商家 與本身不接受持卡人的數據,但 其他不影響支付交易的安全性和/或頁面 完整性,它接受一個網站消費者的持卡人數據。內容符合PCI DSS v3.0要求和測試程序。
這表明要符合要求。
您的使用案例聽起來與Stripe's相似,他們說您需要在您的頁面上使用SSL,否則可以自我證明符合規定。
https://support.stripe.com/questions/do-i-need-to-be-pci-compliant-what-do-i-have-to-do
你可能想諮詢審計機構,從他們那裏得到一個正式意見,但。