这种设置是否符合 PCI 标准？

Question

我一直在与拒绝采用 PCI 标准的客户进行辩论。我想与社区核实，以确保我的反对意见是正确的。

问题：有没有办法将信用卡信息存储在共享托管服务器上并符合 PCI 标准？

设置如下：

1) 正在为整个结帐流程和客户网站的管理部分实施 SSL。

2) 信用卡信息存储在 MYSQL 数据库中的服务器（共享主机计划）中。它是加密的。

3) 客户访问受密码保护的管理面板并从她的网站打印信用卡。

4) 客户端然后通过终端手动运行信用卡信息并从服务器中删除该信用卡信息。

Answer 1

不，不是。

阅读https://www.pcisecuritystandards.org/documents/Prioritized_Approach_V2.0.pdf - 这是一个很好的 PCI DSS 指南。

就个人而言，我认为第 5-10 节不太可能在这里发生。

Answer 2

有时，作为开发人员，我们必须引导客户采用最佳做法，即使他们反对。目前这种存储加密数据的做法听起来非常危险。如果发现您的客户违规，仅罚款就可能破坏他们的业务，并且它也可能再次困扰您。这个网站上有一些很好的信息： https://www.owasp.org/index.php/Handling_E-Commerce_Payments

许多商家帐户对于小型企业来说非常实惠。您应该考虑使用 Authorize.net 或类似网关设置您的客户端。设置购物车/结帐流程具有一定的挑战性，但如果您能够设置像您所描述的那样的系统，我相信您可以在一周左右的时间内搞定。

祝你好运！

Answer 3

可以使用共享主机提供商并符合 PCI 标准。如果您是（或正在使用）共享托管服务提供商，PCI 标准包括额外的控制措施。

额外的控制包括分离不同客户端之间的进程、控制另一个客户端对一个客户端数据的访问、控制对审计日志的访问等。

但是，如果你决定走这条路……祝你好运！

Answer 4

看看 MaximumASP 的 maxesp 云产品：http://www.maximumasp.com/products/cloudhosting/default.aspx

他们声称其共享托管云计划中的 Web 层和数据层“完全符合 PCI 标准”。如果没有相反的证据，您的问题的答案似乎是“是”假设MaximumASP 的主张是有效的。我对 PCI 的细节不够熟悉，无法反驳他们，但如果其他人可以反驳这一说法，我会非常感兴趣。