リモート MySQL PCI コンプライアンス

リモート MySQL PCI コンプライアンス

使用ストライプクレジットカードの支払いを処理し、クライアントの支払いと情報を MySQL データベースに保存します。トランザクションの ID とクライアント ID のみを保存します。Stripe は PCI コンプライアンスの問題に取り組んでいます。現在、SSL 経由でコンテンツを提供し、Stripe の安全な stripe.js 接続を使用することで、PCI コンプライアンスを満たしています。

当社では、データベースと支払いサイトをホストする単一のボックスに支払いを分離してきました。

私の質問は、Amazon RDS などのリモートでホストされるデータベースに移行し、このサーバーまたはホスティング PaaS でサイトをホストし続ける場合、クレジットカード情報を保存せず、Stripes レコードへのポインターのみを保存している場合、PCI コンプライアンスは変更されるのでしょうか? ここで考慮すべきことはありますか? それとも、今のように PHP mysqli 接続を使用し続け、localhost の代わりにリモート接続文字列を使用するだけでよいのでしょうか? Web ホスト以外のすべての IP が DB アクセスからブロックされます。

サイトのコンテンツは引き続き SSL 経由で提供され、stripe.js が使用されます。変更されるのは、データベースとサイトを別のサーバーに分離することだけです。

答え1

https://stripe.com/us/help/faq#my-pci-requirements

クレジットカード決済を受け入れる人は誰でも PCI に準拠する必要がありますが、Stripe を使用すると簡単です。

  • 支払いページは SSL 経由で提供します。つまり、ページの Web アドレスは「http」ではなく「https」で始まる必要があります。
  • 支払い情報を受け入れて Stripe のサーバーに直接送信する唯一の手段として Stripe.js を使用します。

これらの手順を実行することで、機密性の高いカードデータの取り扱いを完全に回避し、システムを PCI の範囲外に保つことができます。

DB をどこに置くかに関係なく、Stripe トークンの保存は PCI の対象外なので、問題ありません。

カードデータを保存している場合、RDS が実行されるディスクを暗号化できないため、RDS を準拠させることはできないと思います。独自の EC2 インスタンスを構築し、その他無数のルールに従う必要があります。

関連情報