我正在构建一个新的 Web 应用程序,该应用程序提供一个请求用户卡信息的表单。提交此表单会将表单数据发布到另一个完全符合 PCI-DSS 的应用程序。
向用户提供表单的应用程序是否也需要符合 PCI-DSS,即使我不读取该应用程序中的卡信息?
据我简短的谷歌搜索显示,似乎任何“处理”卡信息的应用程序都需要遵守 PCI-DSS。我不完全确定“处理”该信息从哪里开始和结束。
最佳答案
PCI/DSS 于 2014 年进行了更新(要求于 2015 年 1 月成为强制性要求),以更严格的 self 评估问卷 ( SAQ A-EP V3 ) 的形式处理类似 stripe 使用的服务机制,其描述如下:
New SAQ to address requirements applicable to e-commerce merchants with a websites that do not themselves receive cardholder data but which do affect the security of the payment transaction and/or the integrity of the page that accepts the consumer’s cardholder data. Content aligns with PCI DSS v3.0 requirements and testing procedures.
这清楚地表明需要合规。
关于forms - 提供请求用户信用卡信息的表单的服务器是否需要符合 PCI 标准,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27803272/