Как отправить информацию о кредитной карте на отдельный сервер / веб-сайт (PCI) - PullRequest
1 голос
/ 14 апреля 2011

В моей компании есть веб-сайт / служба, которая хранит / обрабатывает кредитные карты и поддерживает PCI (сайт A).У нас также есть веб-сайты с витринами, которые должны отправлять данные кредитной карты на этот сайт для обработки (сайт B).Когда кто-то заказывает что-то на сайте B и вводит свою платежную информацию, как я могу отправить эту информацию на сайт A и оставаться PCI-совместимым?

Очевидно, что они находятся на защищенной странице на сайте B, когда они входятих платежные реквизиты.

Могу ли я просто опубликовать форму на защищенной странице сайта А с защищенной страницы сайта Б?Нужно ли шифровать кредитную карту во время этой транзакции?Очевидно, что он хранится в каком-то зашифрованном состоянии, но нужно ли его шифровать во время транзакции отправки?

Нужно ли устанавливать какое-то рукопожатие между сайтами, например секретный ключ?Если это так, что может быть безопасным способом создания этого ключа / рукопожатия?

Мы читали и читали о соответствии PCI, пытаясь найти конкретные ответы, но это кажется своего рода субъективным и скрывает то, что мы должныделать.

Ответы [ 2 ]

0 голосов
/ 03 декабря 2014

Сайт B находится в вашей области действия PCI, если данные CC присутствуют даже в течение наносекунды.

Если вы хотите, чтобы они вышли, подумайте о способе вызова защищенной страницы из A при оплате, а затем уведомите B только о результате, не раскрывая детали CC.

0 голосов
/ 14 апреля 2011

Короче говоря, PCI-DSS утверждает, что информация о кредитной карте никогда не должна быть в виде простого текста.При этом вы должны составить свой собственный протокол для этого. HTTPS - отличное решение.

...