如何将信用卡信息提交到单独的服务器/网站 (PCI)

Question

我的公司有一个网站/服务，用于存储/处理信用卡并且符合 PCI 标准（站点 A）。我们还有一些带有店面的网站，需要将信用卡数据提交到该站点进行处理（站点 B）。当有人在站点 B 上订购商品并输入他们的账单信息时，我如何将该信息提交给站点 A 并保持 PCI 合规性？

当他们输入帐单详细信息时，他们显然是在站点 B 上的安全页面上。

我可以将表单从站点 B 的安全页面发布到站点 A 的安全页面吗？在此交易过程中，我是否需要对信用卡进行加密？明明是以某种加密状态存储的，但是在提交交易的过程中需要加密吗？

我是否需要在网站之间设置某种握手方式，例如密钥？如果是这样，创建该密钥/握手的安全方法是什么？

我们一直在阅读和阅读有关 PCI 合规性的文章，试图找到具体的答案，但这似乎有点主观，并且模糊了我们应该做什么。

Answer 1

简而言之，PCI-DSS 规定信用卡信息不得为纯文本。话虽如此，您应该为此制定自己的协议。 HTTPS 是一个很好的解决方案。

Answer 2

只要 CC 数据存在一纳秒，站点 B 就在您的 PCI 范围内。

如果您希望他们退出，请考虑在付款时从 A 调出安全页面的方法，然后仅将结果通知 B，不透露 CC 详细信息。