С помощью Полоса для обработки платежей по кредитным картам и хранения клиентских платежей и информации в базе данных mysql. Сохранение только идентификатора транзакции и идентификатора клиента. Stripe берет на себя основные проблемы соответствия PCI. В настоящее время мы выполняем требования PCI, обслуживая контент по ssl и используя полосы для безопасного соединения stripe.js.
Мы изолировали наши платежи в одном ящике, где размещены база данных и сайт платежей.
Мой вопрос заключается в том, что если я перейду к удаленно размещенной базе данных, такой как Amazon RDS, и продолжу размещать сайт на этом сервере или на хостинге PaaS, изменится ли это соответствие pci, если я не храню и не храню информацию о кредитной карте, а только указываю на Полосы рекорды? Что-нибудь, что мне нужно рассмотреть здесь, или я могу продолжать использовать соединение php mysqli, как сейчас, и просто использовать строку удаленного подключения вместо localhost? Блокирует все IP-адреса, кроме веб-хоста, от доступа к базе данных.
По-прежнему будет обслуживать контент сайта через SSL и использовать stripe.js. Единственное, что изменилось, - это разделение базы данных и сайта на разные серверы.
https://stripe.com/us/help/faq#my-pci-requirements
Все, кто принимает платежи по кредитным картам, должны соответствовать требованиям PCI, но с Stripe это просто:
- Обслуживайте свою платежную страницу через SSL, то есть веб-адрес страницы должен начинаться с https, а не с http.
- Используйте Stripe.js как единственное средство, с помощью которого вы принимаете платежную информацию и передаете ее напрямую на серверы Stripe.
Выполняя эти шаги, вы полностью избегаете обработки конфиденциальных данных карты и держите свои системы вне зоны действия PCI.
Хранение токенов Stripe не покрывается PCI независимо от того, где вы размещаете свою БД, так что вам хорошо.
Если бы вы хранили данные карты, я не верю, что RDS можно сделать совместимой, поскольку вы не можете зашифровать диск, на котором он работает. Вам нужно будет создать свои собственные экземпляры EC2 и следовать всем другим бесчисленным правилам.