UsandoRayapara procesar pagos con tarjeta de crédito y almacenar pagos e información de clientes en una base de datos mysql. Solo almacena la identificación de la transacción y la identificación del cliente. Stripe se ocupa de los problemas de cumplimiento de PCI. Actualmente, cumplimos con el cumplimiento de PCI, brindando contenido a través de SSL y utilizando la conexión segura stripe.js de Stripes.
Hemos estado aislando nuestros pagos en una única caja que aloja la base de datos y el sitio de pago.
Mi pregunta es que si me mudo a una base de datos alojada de forma remota, como Amazon RDS, y continúo alojando el sitio en este servidor o en un alojamiento PaaS, ¿cambia esto el cumplimiento de PCI si no estoy almacenando información de tarjetas de crédito y solo punteros a ¿Registros de rayas? ¿Hay algo que deba considerar aquí o puedo seguir usando la conexión php mysqli como lo hago ahora y simplemente usar la cadena de conexión remota en lugar de localhost? Bloquearía todas las IP excepto la del servidor web desde el acceso a la base de datos.
Seguiría ofreciendo contenido del sitio a través de SSL y usaría stripe.js. Lo único que cambiaría sería separar la base de datos y el sitio en diferentes servidores.
Respuesta1
https://stripe.com/us/help/faq#my-pci-requirements
Cualquiera que acepte pagos con tarjeta de crédito debe cumplir con PCI, pero con Stripe, es fácil:
- Ofrezca su página de pago a través de SSL, es decir, la dirección web de la página debe comenzar con "https", no con "http".
- Utilice Stripe.js como único medio por el cual acepta información de pago y la transmite directamente a los servidores de Stripe.
Al seguir estos pasos, evitará por completo el manejo de datos confidenciales de la tarjeta y mantendrá sus sistemas fuera del alcance de PCI.
PCI no cubre el almacenamiento de tokens Stripe, independientemente de dónde coloque su base de datos, por lo que está listo.
Si estuviera almacenando datos de la tarjeta, no creo que RDS pueda ser compatible ya que no se puede cifrar el disco en el que se ejecuta. Necesitaría crear sus propias instancias EC2 y seguir todas las demás reglas.