フォームにクレジットカード番号フィールドが含まれている場合は、PCI対応にする必要がありますか

Question

クレジットカード番号とそのタイプ（CCVも有効期限もない）を含むフォームをSSLセキュアウェブサイトに用意しています。ユーザーがフォームを送信すると、送信されたすべての情報を含む電子メールが管理者に送信されます。このプロセスでは、データベースには何も格納されません。

HTTPSでウェブサイトを保護する以外に何か必要はありますか？

ありがとうございます！

Answer 1

クレジットカード情報を受け入れるため、PCI対応でなければなりません。

FAQから：

Q：誰にPCIが適用されていますか？

A：PCIは、カード所有者のデータを受け入れ、送信したり、保管したりする、取引の規模や数にかかわらず、いかなる組織や加盟店にも適用されます。言い換えれば、その組織の顧客がクレジットカードまたはデビットカードを使用して直接販売店に支払う場合、PCI DSSの要件が適用されます。

Q：組織にPCI違反を報告するにはどうすればよいですか？

A：PCIに準拠していないと判明した企業は、クレジットカード取引の処理に使用するエンティティによって罰金を受けることがあります。クレジットカードのデータが実際に盗まれたデータ違反のある企業は、銀行、カードブランドなどの罰金や手数料が大幅に掛かり、違反を報告する必要があり、これにより速やかにニュースが作成され、 。

そしてまた、この：

Q：アムI PCI準拠Iは、SSL証明書を持っている場合は？

A：いいえSSL証明書は悪意のある攻撃や侵入からWebサーバーを保護しません。

Answer 2

クレジットカード情報を送信する場合、答えは「はい」です！電子メールでクレジットカードを送信することは、大したことではありません！

1. ローカルサーバーに番号を格納していない可能性がありますが、電子メールサーバー経由で送信している可能性があります。攻撃者はその情報にアクセスできます！
2. フォーム上のメールアドレスを変更した人は誰でも、第三者に行くことができます。これは非常に安全です。
3. クレジットカード番号をクリアに送信することはできません。送信（記憶）の前、途中、後で番号を暗号化する必要があります。特に完全なカード番号は絶対に必要な場合にのみ完全に表示されるべきです。さもなければ、最後の4つを表示することができますが、ビジネス機能を処理するために絶対に必要な場合に限ります。
4. あなたのフォームは安全である必要があるだけでなく、番号が存在するすべてのハードウェアとネットワークも保護されている必要があります。

すぐにオフラインにして、すぐにすべてのメールを破棄することをおすすめします。その後、PCIコンプライアンス文書を読んだり、authorize.netなどのPCI準拠の支払いインタフェースを使用することを検討してください。