PCI合规性-透明重定向方案中是否需要SSL？

Question

我们将使用一些具有安全链接的支付服务，付款表单数据将在其中发布(例如https://some-payment-gateway/securelink/sslpmt)我们的表单将包含完成付款所需的所有字段: 1.客户信息2.帐单信息3.信用卡信息我们的表单是否也应该托管在安全网站上？正如我们所理解的，即使我们的网站是不安全的，例如：http://our-site/orderform.html，如果它包含：

表单域将通过安全连接传输，不会泄露任何数据。我们是对的还是错的？

Answer 1

恐怕是假的。

如果您托管一个接受卡详细信息的页面，则该页面、运行该页面的计算机以及该计算机连接到的网络必须符合PCI。(如果有人泄露了orderform.html并将收集的详细信息重定向到其他地方怎么办)

如果你看一下，你的一些支付网关公司提供了一个很好的机会，可以将用户重定向到他们自己托管的页面，以便收集卡的详细信息-这几乎总是明智的选择，因为它消除了你的大部分合规义务。

Re Braintree API我在谷歌上搜索了一下，发现：

“我们的透明重定向应用程序接口完全消除了从您的环境中处理和处理信用卡数据的工作……透明重定向不是托管页面解决方案；它对最终用户是完全透明的。”

这看起来有点自相矛盾，似乎他们确实希望你在你的网站上收集卡片的详细信息-所以你需要遵守，他们证实了here。

他们很高兴能有一个“下载预填的SAQ 2.0版，并验证它是否符合商业实践”。link &一个你可以利用的QSA建议--但我要指出的是，在SAQ文件上签字是具有法律约束力的，就像任何合同一样；如果你的系统被攻破，而且存在欺诈行为，你可能会付出可怕的代价。