PCI-DSS 合規性

我們正在開發一種新軟體（實際上只是一個 php 腳本），它收集持卡人資訊並將其儲存在 MySQL 數據庫中。顯然，我們正在採取一切安全預防措施（防火牆、防病毒、SELinux、限制對機器的訪問），但我們正在嘗試了解在實施之前我們需要採取哪些步驟。

由於客戶是 4 級商戶（沒有實際交易，只是儲存持卡人資訊），我們需要進行哪些掃描才能找到？

顯然我們需要掃描伺服器/IP，但是收集數據的 php 腳本呢？

不幸的是，持卡人數據儲存電子商務環境受制於最嚴格的 PCI-DSS 要求（D 類）。

注意：人們會告訴您，1 級商家的規則比 4 級要嚴格。這是不正確的。只有 1 級商戶才需要進行審核，但如果您是 4 級商戶被發現違反規則，您仍然會受到一些巨額處罰和法律責任。

您需要遵循的完整規則列表如下： https ://www.pcisecuritystandards.org/documents/pci_saq_d.pdf

在您的應用程序開發過程中，您需要特別注意要求 1-4。

通常，我建議小商店盡可能外包持卡人數據儲存甚至購物車的東西，以減少頭痛和責任。NetSuite、Paypal、Google Checkout 和許多其他公司都可以為您提供幫助。

引用自：https://serverfault.com/questions/232937