使用Stripe处理信用卡付款并将客户付款和信息存储在mysql数据库中。 只存储事务的id和客户端ID。 Stripe承担了PCI合规性问题的主要工作。 目前我们正在履行PCI合规性,通过服务于SSL的内容,并使用条纹安全stripe.js连接。
我们一直孤立我们的付款到一个主机的数据库和支付网站框。
我的问题是,如果我移动到远程托pipe的数据库,如亚马逊RDS,并继续承载这个服务器上的网站或托pipePaaS,这是否会改变pci遵守,如果我不存储和信用卡信息,只有指针条纹logging? 任何我需要考虑在这里,或者我可以继续使用PHP的mysqli连接,因为我现在只是使用远程连接string,而不是本地主机? 会阻止所有的IP,除了从Web访问的Web主机。
仍然会通过SSL提供站点内容,并使用stripe.js。 只有更改将分开数据库和不同的服务器上的网站。
https://stripe.com/us/help/faq#my-pci-requirements
任何接受信用卡付款的人都必须符合PCI标准 – 但是使用Stripe,很容易:
- 通过SSL服务您的付款页面,即该页面的url应以“https”开头,而不是“http”。
- 使用Stripe.js作为接受付款信息的唯一方式,并将其直接传送到Stripe服务器。
通过采取这些步骤,您完全避免处理敏感的卡数据,并使您的系统远离PCI范围。
无论您将数据库放在哪里,存储条形符号都不会被PCI覆盖,所以您很好。
您是否存储卡数据,我不相信RDS可以被合规,因为您无法encryption运行的磁盘。 您需要构build自己的EC2实例,并遵循所有其他规则。