PCI-DSS法规

Question

最近，我不得不实现一个必须符合PCI的网站。

我只是在SSL上传输卡的详细信息(每次都用随机RSA 2048密钥加密)。然后将数据传输到Stripe。我的后端没有存储任何与卡数据相关的内容。

如果我只处理几笔交易，那么自我评估就足够了吗？

Answer 1

如果不知道涉及哪些支付品牌，这是无法回答的。来自PCIDS4.0快速参考指南(https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Supporting%20Document/PCI_DSS-QRG-v4_0.pdf) (我的重点)：

PCI SSC负责制定和管理PCI安全标准及相关的资格认证和上市程序；但是，每个参与的支付品牌都有自己的单独的合规执行程序，包括哪些实体需要验证合规、验证级别、实体是否有资格完成自我评估问卷(SAQ)或是否必须完成合规报告(ROC)，以及任何罚款或处罚。