私は、PCI 標準の採用を拒否するクライアントと討論してきました。コミュニティに確認して、自分の反対意見が正しいかどうかを確認したい.
質問: 共有ホスティング サーバーにクレジット カード情報を保存し、かつ PCI に準拠する方法はありますか?
セットアップは次のとおりです。
1) チェックアウト プロセス全体とクライアント サイトの管理セクションに SSL が実装されています。
2) クレジット カード情報はサーバー (共有ホスティング プラン) の MYSQL データベースに保存されています。暗号化されています。
3) クライアントは、パスワードで保護された管理パネルにアクセスし、ウェブサイトからクレジット カードを印刷します。
4) クライアントは、端末を介して手動でクレジット カード情報を実行し、このクレジット カード情報をサーバーから削除します。
いいえそうではありません。
https://www.pcisecuritystandards.org/documents/Prioritized_Approach_V2.0.pdfを読んでください- これは PCI DSS に関する優れたガイドです。
個人的には、セクション 5 ~ 10 がここで発生する可能性は低いと思います。
開発者として、クライアントが抵抗する場合でも、ベスト プラクティスに向けてガイドしなければならないことがあります。暗号化されたデータを保存するこの現在の慣行は、非常に危険に思えます。クライアントが違反していることが判明した場合、罰金だけで彼らのビジネスが崩壊する可能性があり、同様にあなたを苦しめることになります. このサイトには良い情報があります: https://www.owasp.org/index.php/Handling_E-Commerce_Payments
多くのマーチャントアカウントは、中小企業にとって非常に手頃な価格です. クライアントに Authorize.net または同様のゲートウェイを設定することを検討する必要があります。カート/チェックアウト プロセスの設定はやや難しいですが、説明したようなシステムを設定できれば、1 週間程度で理解できると思います。
幸運を!
共有ホスティング プロバイダーを使用して、PCI に準拠することができます。PCI 標準には、共有ホスティング プロバイダーを使用している (または使用している) 場合に必要な追加の制御が含まれています。
追加の制御には、異なるクライアント間のプロセスの分離、あるクライアントのデータへの別のクライアントによるアクセスの制御、監査ログへのアクセスの制御などの機能が含まれます。
ただし、このルートを進むことにした場合は、幸運を祈ります。
MaximumASPのmaxespクラウド製品をご覧ください:http://www.maximumasp.com/products/cloudhosting/default.aspx
彼らは、共有ホスティングクラウドプランのウェブ層とデータ層の両方で「完全にPCIに準拠している」と主張しています。反対の証拠がない限り、MaximumASPの主張が有効であると仮定すると、あなたの質問に対する答えは「はい」のように見えます。私はPCIの詳細に精通していないので、それらに異議を唱えることはできませんが、他の誰かがその主張に異議を唱えることができれば、私は非常に興味があります。