使用條紋處理信用卡付款並將客戶付款和資訊儲存在 mysql 資料庫中。僅儲存交易 ID 和客戶端 ID。 Stripe 主要解決 PCI 合規性問題。目前,我們正在透過 ssl 提供內容並使用 stripes 安全 stripe.js 連接來滿足 PCI 合規性。
我們一直將支付隔離到託管資料庫和支付站點的單一盒子中。
我的問題是,如果我遷移到遠端託管資料庫(例如Amazon RDS),並繼續在此伺服器或託管PaaS 上託管該網站,如果我不存儲信用卡信息,而僅指向指向的內容,這是否會改變pci合規性條紋記錄?我需要在這裡考慮什麼,或者我可以像現在一樣繼續使用 php mysqli 連接,只使用遠端連接字串而不是 localhost 嗎?將阻止除 Web 主機之外的所有 IP 存取資料庫。
仍將透過 SSL 提供網站內容並使用 stripe.js。唯一需要改變的就是將資料庫和網站分離到不同的伺服器。
答案1
https://stripe.com/us/help/faq#my-pci-requirements
任何接受信用卡付款的人都必須符合 PCI 標準,但使用 Stripe,一切都變得簡單:
- 透過 SSL 提供您的付款頁面,即頁面的網址應以「https」開頭,而不是「http」。
- 使用 Stripe.js 作為您接受付款資訊並將其直接傳輸到 Stripe 伺服器的唯一方式。
透過採取這些步驟,您可以完全避免處理敏感卡數據,並使您的系統脫離 PCI 範圍。
無論您將資料庫放在哪裡,儲存 Stripe 令牌都不在 PCI 範圍內,因此您可以放心使用。
如果您記憶卡數據,我不相信 RDS 可以相容,因為您無法加密它運行的磁碟。您需要建立自己的 EC2 執行個體並遵循所有其他無數規則。