私の会社は購読ベースのWebサイトを開始したいと考えており、私は支払いゲートウェイでそれを実装しています。私のサーバーでクレジットカード情報を処理する方法
問題は、この支払いゲートウェイは私のサーバーに到達する前に、クライアントのクレジットカード情報を暗号化するためのツールを私に与えないということです。
私の質問は、この非常に機密情報をどのように扱うべきかということです。
私はそれを保管することを計画していません。確認のためにサーバから支払いゲートウェイに直接送信します。
プレーンテキストのクレジットカード情報も処理できますか?
私はこれが非常にオープンな主題であることを知っています。私はこの問題についてもっと読んで理解することができるように指示されたいと思います。
ほとんどの場合、pciに準拠している必要があります。説明した設定では、最も広いスコープの評価が必要です。光に近づきたいと思っているものではありません。
既に業界標準のセキュリティがある場合は、PCIコンプライアンスへの大きな飛躍ではありませんが、ほとんどの場合、それはありません。一般的に取るアプローチは、範囲を狭めることです。iframeやリダイレクトのようなサードパーティーのサービスでこれを行うことができます。ストライプのような企業は、そのようなソリューションを提供しています。その場合、SAQ Aで逃げることができるかもしれません。そうでない場合はSAQ Dが必要になるでしょう。これはあなたのボリュームにもよりますが、それ以上の場合は、コンプライアンス(roc)に関するレポートが必要です毎年必要です。
一般的にコンプライアンスが必要なものであるため、販売者の銀行とチャットすることができます。彼らはあなたのサービスが生きていないと仮定すると、非常に役に立つことがあります。
pci council websiteをチェックしてください。そこに情報が満載されています。
完璧な答え。どうもありがとう。 – WilsonPena