信用卡信息，必须采取哪些安全预防措施？

Question

我们不存储任何信用卡信息。它通过 HTML 表单收集，然后由 PHP 脚本处理，该脚本使用 Intuit 的 API 向信用卡收费。调用API充值后，信用卡信息全部销毁。

以下是我关于信用卡信息安全性的问题：

• 我认为 SSL 是必须的。这是正确的吗？
• 我应该从共享主机切换到专用服务器吗？
• 我认为没有一种不容易不可逆的加密可以采取 位于 HTML 表单和 PHP 脚本之间，进行任何加密 需要用于我想做的事情吗？

如果您还有其他想法，请分享。感谢大家的宝贵时间。

Answer 1

我认为 SSL 是必须的。这是正确的吗？

是的，正确。

我应该从共享切换 托管到专用服务器？

至少一个 VPS 是一个非常好的主意。您可能无法在共享主机上成功地符合 PCI，您只是没有足够的控制权来按照 PCI 的要求锁定您的服务器。

我假设没有加密 不容易不可逆，可以在 HTML 表单之间发生 和 PHP 脚本，是否需要对我使用任何加密 想做什么？

您的 API 应该会解决这个问题。确保 API 也通过 SSL/安全连接。

请阅读 PCI 要求。您正在传输持卡人数据，因此您需要符合 PCI 标准。您将处于合规性的“最低级别”（我认为是 C 或 D）。您还需要对您的服务器 IP 运行季度扫描以证明合规性。作为仅供参考，我为此使用 McAffee Secure。

您不受 PCI 规则约束的唯一方法是持卡人的数据输入到其他人的服务器上（想想：paypal）。每当您通过贝宝付款时，您都会被转移到贝宝的服务器，然后再转回。在该方案中，您无需遵守规定。

现在，许多 PCI 要求都谈到了一些不适用于问卷的内容（即您的服务器是否存储在安全的地方，您的建筑物的物理安全程度等......） - 好消息是您的服务器/托管公司应该处理这个问题。

在您的网络扫描之后，它会列出一个让您不合规的事情的列表。它们几乎总是与服务器相关的问题。您可以自己修复它们，或者请您的房东帮助您 - 如果您将列表发送给他们，大多数房东都会这样做。您将无法在共享主机上修复其中的很多问题。

Answer 2

您的观点按顺序处理

• 是的，即使连接到 API，这应该是唯一的选择
• 这是个好主意，安全性暴露较少。被入侵的租户入侵您的网站的可能性会降低。
• 只要您不以任何形式存储或缓存数据并使用 SSL 进行传输，您就不必对您的应用程序实施加密。

PCI 要求可能适用。

Answer 3

1）我会通过HTTPS服务整个页面，以避免用户收到“某些资源不受保护”的警报消息

2) 取决于集成，如果 Intuit 为您提供了要使用的 iframe 或表单操作，则敏感数据永远不会到达您的服务器。用户可以键入和/或直接将其提交给 intuit，而您的页面仅作为容器。

如果上述情况属实：

3) 您不必通过 PCI 合规性。 Intuit 已经做到了。敏感数据永远不会到达您的服务器，因此无需处理任何内容。

4) 共享或专用主机并不重要，因为您没有传输或存储任何敏感信息。

Answer 4

1. SSL： 是的，当然。在您的服务器和客户端之间，以及在您和 API 之间。

2. 专用主机：理想情况下，是的。使用共享主机有两个问题：

   1. 存储在会话中的任何内容都可能被服务器上的其他人检索。
   2. 甚至不属于您的网站中的安全漏洞可能会导致您的网站出现漏洞。

    
   这些主要是您的主机安全策略的域，并且不容易被 PCI 扫描识别。