Если вы используете Stripe PHP SDK, мне все равно нужно быть PCI-совместимым?
Я просто хотел бы иметь возможность использовать PHP SDK Stripe для проверки информации о кредитной карте, и я вообще не собираюсь хранить информацию CC в моей системе. Единственное, что я хотел бы сохранить, это логическое значение для действительного / недействительного.
Если только номер CC проходит через мой сервер, мне все еще нужно быть полностью совместимым с PCI? Или SSL будет достаточно?
Решение
Вы должны быть PCI-совместимым, если вы обрабатываете данные кредитной карты, независимо от того, как вы ее обрабатываете. Что изменит то, что нужно для жалобы PCI. Это зависит от того, сколько транзакций вы обрабатываете, а также от того, как вы обрабатываете транзакции. Таким образом, обрабатывая меньше транзакций и никогда не трогая данные карты, легче совместить с PCI, чем если вы делаете 1 миллион транзакций и сохраняете данные карты.
При использовании Stripe вы обычно должны соответствовать стандарту PCI SAQ A, однако это предполагает, что вы идете по обычному пути использования Stripe.js или Stripe Checkout для получения токена карты. Это около 12 страниц документов, которые Stripe даже предварительно заполняет для вас. Если вы решите, что ваш сервер должен получать данные карты, даже если он ничего не делает с данными или просто передает их в Stripe, не сохраняя их, вы попадаете в PCI SAQ D, который составляет около 80 страниц бумажной работы, что гарантирует, что сервер полностью соответствует требованиям PCI (проверяется, изменяется пароль, находится в безопасном центре данных и т. д.).
Другие решения
Других решений пока нет …