我正在查看商家帐户,据我了解,存储送货地址对于 PCI 合规性来说是可以的,这是真的吗?此外,似乎 Recurly 的 API 需要 SAQ C 或 SAQ D,我查看了一些示例问题:
我的意思是,我认为大多数人都不会。 PCI合规性是否仅适用于成熟的公司?我相信很多人都想要无缝结账,而且肯定有一些服务可以避免 PCI 合规性,那么为什么要获得商家帐户呢?值得付出额外的努力吗?我的意思是,看到这些示例问题已经很麻烦了。
【问题讨论】:
标签: pci-dss
PCI compliance is required for any merchant that accepts credit cards.
您最好与专门从事 PCI 合规性的公司交谈。无论如何,您可能需要聘请审计员来验证您的合规水平。我认为这是获取完整答案的错误论坛。
但是,解决您的一些观点:
此外,请记住,PCI 合规性应被视为良好安全实践的最低限度。符合 PCI 标准并不意味着您是安全的。这意味着您符合该特定标准。
许多符合 PCI 标准的公司遭到破坏,并丢失了关键/敏感数据,包括导致其客户/员工身份被盗的类型。
当我们几年前开始进行审计时,这让我们大开眼界,在我们大开眼界之后,我们集成了一个安全开发生命周期,需要进行大量培训,并且随着时间的推移了解到 PCI 合规性只是一个开始。 PCI 无法涵盖的内容太多了。
无论如何,我会从here 开始,然后确定您需要达到的级别。
至于这是一个巨大的麻烦,你是对的......
良好的安全性很麻烦。它需要对细节的繁琐关注。你不只是出去写代码,你还做威胁建模、代码审查、渗透测试。从需求收集到发布,您的整个过程都应记录在案,并在每一步都解决安全问题。您应该考虑关注点分离,以确保没有一个流氓开发人员可以在他或她心怀不满时感染您的网站,或者系统管理员无法锁定所有内容并退出(就像加利福尼亚州的一个城市发生的那样不久前)。
如果你想要任何保护,你必须得到的细节数量是疯狂的,然后你仍然不得不忍受你永远无法达到 100% 无懈可击的事实。
而这仅仅是个开始。
这增加了很多开销,而且很麻烦。
但是这么大的麻烦是值得的。当您考虑被破坏的成本时,不仅对您,而且对您的客户、业务合作伙伴等而言。
【讨论】: