Bạn sẽ cần phải làm theo (đến bức thư) và tốt nhất là vượt quá sự PCI DSS chuẩn. Đây không phải là một nhiệm vụ dễ dàng để thực hiện và cũng không nên thực hiện một cách tầm thường.
Tôi mạnh mẽ khuyên bạn nên tìm một bộ xử lý bên thứ ba mà có thể xử lý này cho bạn và tích hợp nó vào hệ thống thanh toán của bạn. Nó đi CÁCH ngoài việc chỉ có SSL và mã hóa thông tin trong cơ sở dữ liệu. Bạn cũng phải giám sát truy cập, phát hiện sự xâm nhập, có hệ thống chỉ có thể thông báo cho những người bị ảnh hưởng trong trường hợp vi phạm (và xác định dữ liệu nào có thể bị xâm phạm), v.v.
Sau đó, có quyền truy cập vật lý vào các máy chủ, mạng, v.v. Điều này có nghĩa là một tủ bị khóa không được chia sẻ trên các máy chủ mà bạn sở hữu nơi mạng LAN vật lý cũng được bảo vệ. Tuân thủ sẽ không rẻ, hoặc dễ dàng.
Thực sự, dành mọi nỗ lực có thể để giảm tải cho bên thứ ba. Chỉ riêng trách nhiệm pháp lý là không có giá trị rủi ro trừ khi bạn nói về các giao dịch lên tới hàng trăm ngàn (chèn tiền tệ của bạn ở đây) hàng tháng. Trong trường hợp đó, các khoản phí bạn tiết kiệm có thể biện minh cho việc mang lại tài năng cần thiết để thực hiện và giám sát các hệ thống lưu trữ thông tin. Có thể bạn sẽ cần:
- Lập trình viên hệ thống (bạn sẽ cần các móc kiểm tra cấp độ hệ thống và kernel)
- IDS / IPS gurus (trừ khi bạn thích khóa nhà cung cấp)
- Nhân viên 24/7/365 để giám sát các cảnh báo được tạo ra từ các hệ thống mà các chuyên gia thiết kế. Những người này không rẻ, họ đưa ra quyết định rút phích cắm thanh toán hoặc báo cáo lỗi trong các thuật toán mà bạn sử dụng.
Và một lần nữa, bạn có thể chuyển tất cả số đó cho bên thứ ba, khá rẻ.