php – 信用卡信息,必须采取哪些安全措施？

I assume SSL is a must. Is this correct?

是,对的.

Should I switch from shared
hosting to a dedicated server?

VPS至少是一个非常好的主意.您可能无法在共享主机上成功实现PCI兼容,您根本没有足够的控制权来按照PCI的要求锁定服务器.

I assume there is no encryption that
isn’t easily un-reversible that can take place between the HTML form
and the PHP script,does any encryption need to be used for what I’m
trying to do?

您的API应该处理这个问题.确保API也通过SSL / Secure连接.

请仔细阅读PCI要求.您正在传输持卡人数据,因此您需要符合PCI条件.您将处于合规的“最低级别”(我认为它是C或D).您需要在服务器IP上运行季度扫描以证明合规性.作为一个FYI,我使用McAffee Secure.

如果持卡人的数据是在其他人的服务器上输入的,那么您不会受PCI规则约束的唯一方法就是(想想：paypal).每当您通过PayPal付款时,您将被转移到PayPal的服务器,然后转回.在该计划中,您不需要合规.

现在很多PCI要求谈论一些不适用于问卷的东西(即你的服务器存放在一个安全的地方,你的建筑物的物理安全性等等) – 好消息是你的服务器/托管公司应该处理.

在您进行网络扫描之后,它会列出一些使您不符合要求的内容.它们几乎总是服务器相关的问题.您可以自己修复它们,也可以让主机帮助您 – 如果您将列表发送给它们,大多数主机都会这样做.您将无法在共享主机上修复它们.