PCI 合规性 - 透明重定向场景中是否需要 SSL？

Question

我们将使用一些具有安全链接的付款服务，其中将发布付款表单数据（例如 https ://some- payment-gateway/securelink/sslpmt) 我们的表格将包含付款所需的所有字段： 1. 客户信息 2. 账单信息 3. 信用卡信息 我们的表单也应该托管在安全网站上吗？ 据我们了解，即使我们的网站不安全，例如： http://our-site/orderform.html 如果它包含：

...

表单字段将通过安全连接传输，不会泄露任何数据。 我们是真还是假？

Answer 1

恐怕是假的。

如果您托管接受卡详细信息的页面，则该页面、运行该页面的计算机以及该计算机所连接的网络必须符合 PCI 标准。 （如果有人泄露了 orderform.html 并将收集到的详细信息重定向到其他地方怎么办）

如果您发现您的 some- payment-gateway Inc 很可能能够将用户重定向到他们自己托管的页面命令收集卡详细信息 - 这几乎总是明智的选择，因为它消除了您的大部分合规义务。

Re Braintree API
我用谷歌搜索他们并看到：

“我们的透明重定向 API
完全消除了处理和
处理信用卡数据
您的环境...透明
重定向不是托管页面
解决方案;它是完全透明的
最终用户”

这似乎有点矛盾，他们似乎确实希望您在网站上收集银行卡详细信息 - 因此您需要遵守规定，他们确认了此处。

下载预先填写的 SAQ A 版本 2.0 并验证其与业务实践是否一致，这真是太好了。 ”链接和您可以利用的 QSA 建议 - 但我想指出的是，签署 SAQ 文件具有法律约束力，就像任何合同一样；如果您的系统遭到破坏并且存在欺诈行为，那么 SAQ 文件的签署具有法律约束力。可能会花费你很多钱。