사용줄무늬신용 카드 결제를 처리하고 고객 결제 및 정보를 mysql 데이터베이스에 저장합니다. 트랜잭션 ID와 클라이언트 ID만 저장합니다. Stripe은 주요 PCI 규정 준수 문제를 담당합니다. 현재 우리는 SSL을 통해 콘텐츠를 제공하고 스트라이프 보안 Stripe.js 연결을 사용하여 PCI 규정을 준수하고 있습니다.
우리는 데이터베이스와 결제 사이트를 호스팅하는 단일 상자로 결제를 격리해 왔습니다.
내 질문은 Amazon RDS와 같이 원격으로 호스팅되는 데이터베이스로 이동하고 이 서버 또는 호스팅 PaaS에서 사이트를 계속 호스팅하는 경우 신용 카드 정보를 저장하지 않고 포인터만 저장하지 않으면 pci 규정 준수가 변경됩니까? 스트라이프 레코드? 여기서 고려해야 할 사항이 있습니까? 아니면 지금처럼 php mysqli 연결을 계속 사용하고 localhost 대신 원격 연결 문자열을 사용할 수 있습니까? DB 액세스에서 웹 호스트 IP를 제외한 모든 IP를 차단합니다.
SSL을 통해 사이트 콘텐츠를 계속 제공하고 Stripe.js를 사용합니다. 변경되는 유일한 것은 데이터베이스와 사이트를 다른 서버에 분리하는 것입니다.
답변1
https://stripe.com/us/help/faq#my-pci-requirements
신용 카드 결제를 받는 사람은 누구나 PCI를 준수해야 합니다. 하지만 Stripe을 사용하면 다음과 같이 쉽습니다.
- SSL을 통해 결제 페이지를 제공하세요. 즉, 페이지의 웹 주소는 "http"가 아닌 "https"로 시작해야 합니다.
- 결제 정보를 수락하고 이를 Stripe 서버로 직접 전송하는 유일한 수단으로 Stripe.js를 사용하세요.
이러한 단계를 수행하면 민감한 카드 데이터 처리를 완전히 방지하고 시스템을 PCI 범위에서 제외할 수 있습니다.
DB를 어디에 두든 Stripe 토큰을 저장하는 것은 PCI의 적용을 받지 않으므로 괜찮습니다.
카드 데이터를 저장했다면 RDS가 실행되는 디스크를 암호화할 수 없기 때문에 RDS가 규격을 준수할 수 있을 것이라고 믿지 않습니다. 자신만의 EC2 인스턴스를 구축하고 다른 수많은 규칙을 모두 따라야 합니다.