Я создаю "средний" веб-сайт электронной коммерции (используя drupal и ubercart, если это имеет значение). Я читал о соответствии pci в прошлом, и поэтому мне интересно, как я могу увидеть, что применимо к моей ситуации. Я, вероятно, выберу «облачные серверы в стойке», хотя мы, возможно, остановимся на облаке Amazon. Не похоже, что на самом деле должны быть какие-либо требования, если у меня есть рабочий сертификат ssl, а также я не храню кредитные карты на моем сервере. Если я использую authorize.net или что-то подобное, похоже, что большая часть соблюдения будет с их стороны.
Когда мне нужно узнать больше? (Прежде чем я выберу хост и подготовлю сервер к работе)
Как я могу узнать больше?
Какие-нибудь общие советы / подсказки?
Мой совет (пройдя полный аудит соответствия требованиям PCI) - использовать сторонний платежный процессор, если у вас нет значительного объема, опыта и рабочей силы. Это должно уменьшить вашу подверженность опросу SAQ-A, что означает, что вам нужно просто заполнить анкету.
Если вы обрабатываете карты на месте (то есть через свое программное обеспечение / серверы / сеть и т. Д.), То, скорее всего, вы используете SAQ-C, и вам нужно будет перепрыгнуть через кучу обручей.
Найти платежной системы это соответствует стандарту PCI, который принимает на себя полную ответственность за транзакцию. то есть вы перенаправляете на их сайт, чтобы предложить оплату.
Какие платежные процессоры совместимы с PCI, актуальны в вашем регионе, для типов карт, которые вы хотите обрабатывать, и т. Д. Могут быть очень специфичными для вас. Это исследовательская задача для вас.
PCI вам нужен только в том случае, если вы сами обрабатываете номера кредитных карт. Разумным выбором будет оставить все, что касается кредитных карт и обработки данных с них, вашей PSP (поставщику платежных услуг) и обрабатывать только имя / адрес клиента и тому подобное на вашем собственном сайте.