Php 信用卡信息，必须采取哪些安全防范措施？

我们不存储任何信用卡信息。它通过HTML表单收集，然后由PHP脚本处理，该脚本使用Intuit提供的API向信用卡收费。调用API对卡收费后，所有信用卡信息都将被处理

以下是我关于信用卡信息安全性的问题：

• 我认为SSL是必须的。这是正确的吗
• 我应该从共享主机切换到专用服务器吗
• 我假设没有一种加密是不容易的，不可逆的，需要 放在HTML表单和PHP脚本之间，进行任何加密 需要用来做我想做的事吗

---

如果你还有什么想法，请分享。感谢大家抽出时间。

您的观点已按顺序阐述

• 是的，即使在连接到API时也是如此，这应该是唯一的选项
• 这是个好主意，减少安全风险。您将有较低的概率，一个妥协的租户将危及您的网站
• 只要您不以任何形式存储或缓存数据并使用SSL进行传输，就不必在应用程序上实现加密

PCI要求可能适用。

1）我会通过HTTPS为整个页面提供服务，以避免用户收到“某些资源未受到保护”的警告消息

2） 取决于集成，如果Intuit为您提供了iframe或form操作供您使用，则敏感数据永远不会到达您的服务器。用户可以键入和/或直接将其提交给intuit，并将其作为一个容器与您的页面一起使用

如果上述情况属实：

3） 您不必通过PCI合规性考试。直觉已经做到了。敏感数据永远不会到达您的服务器，因此无需处理

4） 共享或专用主机并不重要，因为您并没有传输或存储任何敏感信息

我认为SSL是必须的。这是正确的吗

是的，没错

我应该从共享模式切换吗 托管到专用服务器

至少一个VPS是一个非常好的主意。您可能无法在共享主机上成功实现PCI兼容，只是您没有足够的控制权来按照PCI的要求锁定服务器

我假设没有加密 在HTML表单之间不容易发生不可逆的情况 还有PHP脚本，我所说的东西需要加密吗 想做什么

你的API应该注意这一点。确保API也通过SSL/安全连接

请仔细阅读PCI要求。您正在传输持卡人数据，因此确实需要符合PCI标准。您将处于“最低级别”的合规性（我认为是C或D）。您还需要每季度对服务器IP进行一次扫描，以证明符合要求。仅供参考，我使用McAffee Secure进行此操作

唯一不受PCI规则约束的方法是，如果持卡人的数据是在其他人的服务器上输入的（想想：paypal）。无论何时您通过paypal支付，您都会被转移到paypal的服务器，然后被转移回。在该方案中，您不需要遵守

现在，很多PCI要求都谈到了一些问卷中不适用的内容（例如，您的服务器是否存储在安全的地方，您的建筑的物理安全性如何等等）——好消息是，您的服务器/托管公司应该处理这些问题

在你的网络扫描之后，它会列出一系列让你不符合的事情。它们几乎总是与服务器相关的问题。您可以自己修复它们，也可以请您的主机帮助您—如果您将列表发送给他们，大多数主机都会这样做。您将无法在共享主机上修复许多问题

SSL:当然可以。在服务器和客户端之间，以及在您和API之间

专用主机：理想情况下，是的。使用共享主机存在两个问题：

存储在会话中的任何内容都可能被服务器上的其他人检索

一个甚至不是你的网站的安全漏洞可能会导致你的网站出现漏洞

这些主要是主机安全策略的域，不容易通过PCI扫描识别

---

是的，SSL是必须的，它将处理客户端和服务器之间的加密（即HTML表单和PHP脚本之间）。如果您不保存credid car，并且如果您使用SSL，那么不要担心……无论您是否需要遵循PCI DSS，您都应该为信用卡交易提供支持。这些标准涵盖了一切，包括客户、商户和网关之间的数据传输。SSL连接是必须的，以确保没有人能够在通往服务器的途中拦截CC。如果要将其存储在数据库中，则应进行单向加密。