マーチャント アカウントを調べていますが、私が理解していることから、配送先住所を保存することは PCI コンプライアンスに問題ありませんが、これは本当ですか? また、Recurly の API には SAQ C または SAQ D が必要なようで、サンプルの質問をいくつか調べました。
つまり、ほとんどの人にとってNOだと思います。PCI コンプライアンスは、確立された企業だけに理想的ですか? 多くの人がそのシームレスなチェックアウトを望んでいると確信しており、PCI コンプライアンスを回避するためのサービスがいくつかあることは間違いありません。余分な努力をする価値はありますか?つまり、これらのサンプルの質問を見ることは、すでに大きな面倒のように見えます.
クレジット カードを受け入れる加盟店には、PCI への準拠が必要です。
PCIコンプライアンスを専門とする会社と話す方がはるかに良いでしょう. いずれにせよ、コンプライアンスレベルを確認するために監査人を雇う必要があるでしょう. これは完全な回答を得るための間違ったフォーラムだと思います。
ただし、いくつかのポイントに対処します。
また、PCI コンプライアンスは最低限の優れたセキュリティ プラクティスと見なされるべきであることに注意してください。PCI に準拠しているからといって、安全であるとは限りません。それはあなたがその特定の基準を満たしていることを意味します.
多くの PCI 準拠企業が侵害され、重要なデータや機密データが失われました。これには、顧客や従業員の ID が盗まれるタイプのものも含まれます。
数年前に監査を開始したとき、それは目を見張るものでした。目を開けた後、安全な開発ライフサイクルを統合し、大量のトレーニングを必要とし、PCI コンプライアンスは始まりにすぎないことを時間の経過とともに学びました。PCI が対応していないことがたくさんあります。
とにかく、ここから始めて、どのレベルに到達する必要があるかを判断します。
そして、それが非常に面倒であるということについては、あなたは正しいです...
優れたセキュリティは面倒です。それは細部への退屈な注意を必要とします。外に出てコーディングするだけでなく、脅威のモデリング、コードレビュー、侵入テストを行います。プロセス全体を文書化し、要件の収集からリリースまでのすべてのステップでセキュリティに対処する必要があります。悪意のある開発者が 1 人でも Web サイトに感染しないようにするため、またはシステム管理者がすべてをロックダウンして終了できないようにするため (カリフォルニアのある都市で数年のうちに起こったように)、懸念事項の分離について検討する必要があります。前に)。
保護が必要な場合、取得する必要がある詳細の量は非常識です。それでも、100% の無敵に到達することは決してできないという事実を受け入れなければなりません。
そして、それはほんの始まりに過ぎません。
多くのオーバーヘッドが追加され、面倒です。
しかし、その大きな手間はそれだけの価値があります。侵害された場合の自分だけでなく、顧客やビジネス パートナーなどのコストを考えるとき。