如何将信用卡信息提交到单独的服务器/网站(PCI)

Question

我的公司有一个存储/处理信用卡的网站/服务，并且是PCI兼容的(站点A)。我们也有网站的店面，需要提交信用卡数据到该网站进行处理(网站B)。当有人在站点B上订购东西并输入他们的账单信息时，我如何将该信息提交到站点A并保持PCI合规性？

显然，当他们输入他们的账单详细信息时，他们在网站B的安全页面上。

我是否可以将表单从站点B上的安全页面发布到站点A上的安全页面？在这笔交易中我需要对信用卡进行加密吗？显然，它是以某种加密状态存储的，但是在提交事务期间需要加密它吗？

我是否需要在两个网站之间建立某种握手，比如密钥？如果是，创建密钥/握手的安全方法是什么？

我们一直在阅读关于PCI合规性的文章，试图找到具体的答案，但它似乎有些主观，并且模糊了我们应该做的事情。

Answer 1

简而言之，PCI-DSS规定信用卡信息永远不能是纯文本。也就是说，您应该为此制定自己的协议。HTTPS是一个很好的解决方案。

Answer 2

站点B在您的PCI范围内，只要CC数据在那里，哪怕只有一纳秒。

如果你想让他们离开，想办法在付款时从A带出一个安全页面，然后只通知B结果，而不会透露CC细节。