1

我的公司有一个存储/处理信用卡的网站/服务,并且符合 PCI 标准(站点 A)。我们还有一些带有店面的网站,需要将信用卡数据提交到该站点进行处理(站点 B)。当有人在站点 B 上订购商品并输入他们的账单信息时,我如何将该信息提交给站点 A 并保持 PCI 合规性?

显然,当他们输入帐单详细信息时,他们位于站点 B 上的安全页面上。

我可以将表单从站点 B 的安全页面发布到站点 A 的安全页面吗?在此交易过程中,我是否需要对信用卡进行加密?明明是以某种加密状态存储的,但是在提交交易的过程中是否需要加密呢?

我是否需要在网站之间设置某种握手,比如密钥?如果是这样,创建该密钥/握手的安全方法是什么?

我们一直在阅读和阅读有关 PCI 合规性的内容,试图找到具体的答案,但这似乎有点主观,并且模糊了我们应该做什么。

4

2 回答 2

0

简而言之,PCI-DSS 规定信用卡信息绝不能是纯文本形式。话虽如此,您应该为此制定自己的协议。HTTPS是一个很好的解决方案。

于 2011-04-14T19:06:43.253 回答
0

只要 CC 数据存在一纳秒,站点 B 就在您的 PCI 范围内。

如果您希望他们退出,请考虑在付款时从 A 调出安全页面的方法,然后仅将结果通知 B,不透露 CC 详细信息。

于 2014-12-03T12:40:29.767 回答