PCI合规性:处理信用卡的网站要点

如果你从事在线视频销售业务，或者想从事在线视频销售业务, 准备好审查从您的站点处理信用卡支付的要求. 支付卡行业(PCI)遵从性是信用卡公司要求商家帐户执行的一组安全命令. 当你想在你的网站上设置信用卡支付时, 您的网站基础设施是支付处理管道的一部分, 安全规定就会越严格.

PCI安全标准委员会于2006年由五家公司创立:美国运通, 发现金融服务, 杰西博国际, 万事达卡, 和Visa公司. PCI DSS，即数据安全标准，从那以后一直在发展. 该标准每年更新一次, 将信用卡支付纳入其网站的公司必须每年遵守新标准，否则将面临失去商户账户的风险. 需要明确的是，PCI是一项行业法规，而不是联邦政府法规. (PCI DSS文档)

尽管涵盖PCI DSS的所有含义超出了本专栏的范围, 我将继续提供适合您组织中的涉众的概述. 根据自我评估问卷(SAQs)的定义，有不同程度的遵从性。. 最少涉及的法规遵循是SAQ A，而最复杂的法规遵循是SAQ D. (SAQ定义)

正如这个词所暗示的那样, a SAQ is typically performed by one or more employees of your company involved with the data exchange of credit card 信息; these include your web developers, 数据库管理员, IT网络人员. 授权员工通常会在SAQ上签字，并将文件发送给持有您商户账户的银行. Different SAQs require your company to have different degrees of documentation on hand in the event of a data breach and/or audit; PCI compliance is largely based on an honor system. 仅仅因为你签署了SAQ并将其提交给你的银行并不意味着你实际上是合规的, 就像提交你的税并不能保证你不会被审计. 随着PCI DSS的每次修订，要求变得越来越严格, 需要更多的时间和努力来保持合规.

如果你正在开始一项新的业务，涉及到通过在线信用卡购买视频的货币化, 您所需的PCI合规性很可能属于以下类别之一:

将支付信息完全重定向到经批准的第三方:您的网站或支付门户直接转到另一个网站, 比如贝宝或亚马逊支付, 用于最终用户登录和提交付款. 在这个场景中, 第三方向站点的服务层提供一个授权令牌，以确认支付已完成, 您的站点将产品提供给最终用户. 您的网站及其服务不保留与购买相关的信用卡信息. 这一类属于SAQ A.
在您的站点上部分输入数据或显示信用卡信息:您不希望最终用户完全离开您的站点来完成购买付款, 您的站点托管用户输入信用卡信息的表单. 该信息被直接发送到第三方处理器网关. 即使你没有存储关键的持卡人数据, 您的网站和付款表单仍然容易受到黑客攻击. 此类别属于SAQ A-EP，并要求, 在其他安全任务中, 您的web服务器托管的形式和任何web服务(s)负责代币交换(s)与支付处理器被完全锁定.
在您的网站上完整输入和存储持卡人数据:您希望在您的网站上拥有整个购物和支付体验. 你仍然会使用第三方来处理付款, 但是，您正在将信用卡数据存储在自己的系统中，以便定期付款或将来进行交易. 这一类别很可能属于SAQ D, 是所有质量标准中最严格的, 考虑到你保留了黑客实施欺诈所必需的所有数据，这是合适的. 如果你希望有一个“紧密的团队”或车库创业, PCI DSS合规性的最新版本包括要求拥有专门的百家乐软件/人员来将实时更新推送到您的站点，而不是编写代码的软件开发人员.

对于希望将PCI遵从性的成本和工作量最小化的公司, 您需要确保您的服务属于前两类之一. 如果您正在寻求存储最终用户的信用卡信息, 准备好花费更多的时间和精力来完成SAQ D的要求.

本文发表于2016年1 / 2月刊 流媒体杂志 作为“PCI合规性:在线视频的考虑”.”