私の会社には、クレジット カードを保存/処理する Web サイト/サービスがあり、PCI に準拠しています (サイト A)。また、処理のためにクレジット カード データをそのサイトに送信する必要があるストアフロントを持つ Web サイトもあります (サイト B)。誰かがサイト B で何かを注文し、請求情報を入力した場合、その情報をサイト A に送信して PCI 準拠を維持するにはどうすればよいですか?
支払いの詳細を入力しているときは、サイト B の安全なページにいることは明らかです。
サイト B のセキュリティで保護されたページからサイト A のセキュリティで保護されたページにフォームを投稿することはできますか? この取引中にクレジットカードを暗号化する必要がありますか? 明らかに、何らかの暗号化された状態で保存されますが、送信トランザクション中に暗号化する必要がありますか?
秘密鍵のように、Web サイト間である種のハンドシェイクを設定する必要がありますか? もしそうなら、そのキー/ハンドシェイクを作成する安全な方法は何ですか?
私たちは、具体的な答えを見つけようとして PCI コンプライアンスについて読んだり読んだりしてきましたが、それは主観的であり、私たちが何をすべきかを曖昧にしているようです。