问信用卡信息，必须采取哪些安全防范措施？

EN

我想SSL是必须的。这是正确的吗？

是的，正确。

我应该从共享主机切换到专用服务器吗？

最低限度的VPS是一个非常好的主意。您可能无法在共享主机上成功地兼容PCI，只是没有足够的控制来按照PCI的要求锁定服务器。

我假设在HTML表单和PHP脚本之间没有不容易发生的不可逆加密，我想要做的事情需要使用任何加密吗？

您的API应该处理这个问题。确保API也通过SSL/安全连接。

请阅读PCI要求。您正在传输持卡人的数据，所以您确实需要符合PCI。您将处于“最低级别”的遵从性(我认为这是C或D)。您还需要在服务器IP上运行季度扫描以证明遵从性。作为一个FYI，我为此使用了McAffee安全。

唯一不受PCI规则约束的方法是，如果持卡人的数据被输入到其他人的服务器上(想想: paypal)。无论何时你用贝宝付款，你都会被转移到贝宝的服务器上，然后再转回来。在该方案中，您不需要遵从。

现在，许多PCI需求谈到了一些不适用于问题的东西(例如，您的服务器是否存储在一个安全的地方，您的建筑有多安全等等)--好消息是您的服务器/主机公司应该处理这个问题。

在你的网络扫描之后，它会给出一个让你不符合要求的事情列表。它们几乎总是与服务器相关的问题。您可以自己修复它们，也可以让您的主机帮助您--如果您将列表发送给它们，大多数主机都会这样做。您将无法在共享主机上修复其中的许多问题。

你的观点是按顺序处理的

• 是的，即使在连接到API时，API也应该是唯一的选项。
• 这是个好主意少了安全隐患。您将有较低的可能性，一个妥协的租户将损害您的网站。
• 只要您不以任何形式存储或缓存数据，并且使用SSL进行传输，您就不必在应用程序上实现加密。

PCI要求可能适用。

1)我会通过HTTPS为整个页面提供服务，以避免用户收到“某些资源不受保护”的警告信息。

2)取决于集成，如果Intuit为您提供了iframe或form操作以供使用，则敏感数据永远不会到达您的服务器。用户可以键入和/或直接将其作为容器提交给您的页面。

如果上述情况属实：

3)您不必通过PCI遵从性。英图伊特已经这么做了。敏感数据永远不会到达您的服务器，因此没有什么可处理的。

4)共享或专用主机并不重要，因为您没有传输或存储任何敏感信息。