4

我们不存储任何信用卡信息。它通过 HTML 表单收集,然后由 PHP 脚本处理,该脚本使用 Intuit 的 API 向信用卡收费。调用API充值后,信用卡信息全部处理完毕。

以下是我关于信用卡信息安全性的问题:

  • 我认为 SSL 是必须的。它是否正确?
  • 我应该从共享主机切换到专用服务器吗?
  • 我假设在 HTML 表单和 PHP 脚本之间不会发生不容易不可逆的加密,是否需要对我正在尝试做的事情使用任何加密?

如果还有什么你能想到的,请分享。谢谢大家的时间。

4

4 回答 4

4

我认为 SSL 是必须的。它是否正确?

是,对的。

我应该从共享主机切换到专用服务器吗?

至少一个 VPS 是一个非常好的主意。您可能无法在共享主机上成功符合 PCI,您只是没有足够的控制权来按照 PCI 的要求锁定您的服务器。

我假设在 HTML 表单和 PHP 脚本之间不会发生不容易不可逆的加密,是否需要对我正在尝试做的事情使用任何加密?

您的 API 应该处理好这一点。确保 API 也通过 SSL/安全连接。

请阅读 PCI 要求。您正在传输持卡人数据,因此您需要符合 PCI 标准。您将处于合规性的“最低级别”(我认为是 C 或 D)。您还需要对您的服务器 IP 运行季度扫描以证明合规性。作为仅供参考,我为此使用 McAffee Secure。

您不受 PCI 规则约束的唯一方法是持卡人的数据输入到其他人的服务器上(想想:贝宝)。每当您通过贝宝付款时,您都会被转移到贝宝的服务器,然后再转回。在该方案中,您不需要遵守。

现在,很多 PCI 要求都谈到了一些不适用于问卷的内容(即您的服务器是否存储在安全的地方,您的建筑物的物理安全程度等......) - 好消息是您的服务器/托管公司应该处理。

在您的网络扫描之后,它会列出一个让您不合规的事情的列表。它们几乎总是与服务器相关的问题。您可以自己修复它们,或者请您的房东帮助您 - 如果您将列表发送给他们,大多数房东都会这样做。您将无法在共享主机上修复其中的很多问题。

于 2013-02-22T19:18:17.627 回答
0

您的要点按顺序处理

  • 是的,即使连接到 API,这应该是唯一的选择
  • 这是一个好主意,减少安全风险。受感染的租户破坏您的站点的可能性会降低。
  • 只要您不以任何形式存储或缓存数据并使用 SSL 进行传输,您就不必在应用程序上实施加密。

PCI 要求可能适用。

于 2013-02-22T18:46:35.170 回答
0

1)我会通过HTTPS服务整个页面,以避免用户收到“某些资源不受保护”的警报消息

2) 取决于集成,如果 Intuit 为您提供了要使用的 iframe 或表单操作,那么敏感数据永远不会到达您的服务器。用户可以键入和/或直接将其提交给直觉,您的页面仅作为容器。

如果上述情况属实:

3) 您不必通过 PCI 合规性。Intuit 已经做到了。敏感数据永远不会到达您的服务器,因此无需处理任何东西。

4)共享或专用主机并不重要,因为您没有传输或存储任何敏感信息。

于 2013-02-22T18:56:27.053 回答
0
  1. SSL:是的,当然。在您的服务器和客户端之间,以及您和 API 之间。
  2. 专用主机:理想情况下,是的。使用共享主机有两个问题:

    1. 存储在会话中的任何内容都可能被服务器上的其他人检索。
    2. 甚至不属于您的站点中的安全漏洞可能会导致您的站点出现漏洞。

     
    这些主要是主机安全策略的域,并且不容易被 PCI 扫描识别。

于 2013-02-22T19:58:27.250 回答