Verwenden vonStreifenum Kreditkartenzahlungen zu verarbeiten und Kundenzahlungen und -informationen in einer MySQL-Datenbank zu speichern. Es werden nur die ID der Transaktion und die Kunden-ID gespeichert. Stripe übernimmt einen Großteil der PCI-Compliance-Probleme. Derzeit erfüllen wir die PCI-Compliance, indem wir Inhalte über SSL bereitstellen und die sichere Stripe.js-Verbindung von Stripe verwenden.
Wir haben unsere Zahlungen auf eine einzige Box beschränkt, die die Datenbank und die Zahlungssite hostet.
Meine Frage ist: Ändert sich die PCI-Konformität, wenn ich zu einer remote gehosteten Datenbank wie Amazon RDS wechsle und die Site weiterhin auf diesem Server oder einem Hosting-PaaS hoste, wenn ich keine Kreditkarteninformationen speichere und nur Zeiger auf Stripes-Datensätze? Muss ich hier etwas berücksichtigen oder kann ich die PHP-MySQL-Verbindung wie bisher weiter verwenden und nur die Remote-Verbindungszeichenfolge anstelle von „localhost“ verwenden? Würde alle IPs außer der des Webhosts vom Datenbankzugriff blockieren.
Würde den Site-Inhalt weiterhin über SSL bereitstellen und stripe.js verwenden. Die einzige Änderung wäre die Trennung der Datenbank und der Site auf verschiedenen Servern.
Antwort1
https://stripe.com/us/help/faq#my-pci-requirements
Jeder, der Kreditkartenzahlungen akzeptiert, muss PCI-konform sein – mit Stripe ist das jedoch ganz einfach:
- Stellen Sie Ihre Zahlungsseite über SSL bereit, d. h. die Webadresse der Seite sollte mit „https“ und nicht mit „http“ beginnen.
- Verwenden Sie Stripe.js als einziges Mittel, um Zahlungsinformationen zu akzeptieren und diese direkt an die Server von Stripe zu übermitteln.
Durch diese Schritte vermeiden Sie den Umgang mit sensiblen Kartendaten vollständig und halten Ihre Systeme außerhalb des PCI-Bereichs.
Das Speichern von Stripe-Token wird von PCI nicht abgedeckt, unabhängig davon, wo Sie Ihre Datenbank ablegen, Sie können also problemlos loslegen.
Wenn Sie Kartendaten speichern, glaube ich nicht, dass RDS kompatibel gemacht werden kann, da Sie die Festplatte, auf der es läuft, nicht verschlüsseln können. Sie müssten Ihre eigenen EC2-Instanzen erstellen und all die anderen unzähligen Regeln befolgen.