UsandoListrapara processar pagamentos com cartão de crédito e armazenar pagamentos e informações de clientes em um banco de dados mysql. Armazenando apenas o id da transação e o ID do cliente. Stripe assume a maior parte dos problemas de conformidade com PCI. Atualmente, estamos cumprindo a conformidade com o PCI, fornecendo conteúdo por SSL e usando a conexão stripes secure stripe.js.
Temos isolado nossos pagamentos em uma única caixa que hospeda o banco de dados e o site de pagamento.
Minha pergunta é: se eu mudar para um banco de dados hospedado remotamente, como o Amazon RDS, e continuar hospedando o site neste servidor ou em um PaaS de hospedagem, isso altera a conformidade com PCI se eu não estiver armazenando informações de cartão de crédito e apenas apontando para Registros de listras? Há algo que preciso considerar aqui ou posso continuar usando a conexão php mysqli como estou agora e apenas usar a string de conexão remota em vez de localhost? Bloquearia todos os IPs, exceto o do host da web, do acesso ao banco de dados.
Ainda serviria o conteúdo do site por SSL e usaria stripe.js. A única mudança seria separar o banco de dados e o site em servidores diferentes.
Responder1
https://stripe.com/us/help/faq#my-pci-requirements
Qualquer pessoa que aceite pagamentos com cartão de crédito deve ser compatível com PCI, mas com o Stripe é fácil:
- Veicule sua página de pagamento por SSL, ou seja, o endereço web da página deve começar com “https”, não “http”.
- Use Stripe.js como o único meio pelo qual você aceita informações de pagamento e as transmite diretamente aos servidores do Stripe.
Ao seguir essas etapas, você evita completamente o manuseio de dados confidenciais do cartão e mantém seus sistemas fora do escopo do PCI.
O armazenamento de tokens Stripe não é coberto pelo PCI, independentemente de onde você coloca seu banco de dados, então você está pronto para prosseguir.
Você estava armazenando dados do cartão, não acredito que o RDS possa ser compatível, pois você não pode criptografar o disco em que ele é executado. Você precisaria construir suas próprias instâncias do EC2 e seguir todas as outras inúmeras regras.