我正在构建一个新的 Web 应用程序,它提供一个请求用户卡信息的表单。提交此表单会将表单数据发布到另一个完全符合 PCI-DSS 的应用程序。
向用户提供表单的应用程序是否也需要符合 PCI-DSS,即使我没有读取该应用程序中的卡信息?
据我简短的谷歌搜索显示,似乎任何“处理”卡信息的应用程序都需要符合 PCI-DSS。我不完全确定“处理”这些信息的起点和终点。
【问题讨论】:
标签: forms security credit-card pci-dss
PCI/DSS 在 2014 年进行了更新(要求在 2015 年 1 月成为强制性要求),以处理像 Stripe 使用的服务机制,以更严格的自我评估问卷 (SAQ A-EP V3) 的形式描述为:
新的 SAQ 以解决适用于电子商务商家的要求 网站本身不接收持卡人数据,但 确实会影响支付交易的安全性和/或 接受消费者持卡人数据的页面的完整性。 内容符合 PCI DSS v3.0 要求和测试程序。
这清楚地表明了合规性是必需的。
【讨论】:
您的用例听起来与 Stripe 的类似,他们说您需要在页面上使用 SSL,否则可以自我证明合规性。
https://support.stripe.com/questions/do-i-need-to-be-pci-compliant-what-do-i-have-to-do
不过,您可能需要咨询审计师并获得他们的正式意见。
【讨论】: