Anda harus mengikuti (ke surat itu) dan lebih disukai melebihi standar PCI DSS . Ini sama sekali bukan tugas yang mudah untuk diselesaikan dan tidak boleh dianggap sepele.
Saya sangat menyarankan Anda menemukan prosesor pihak ketiga yang dapat menangani ini untuk Anda dan mengintegrasikannya ke dalam sistem penagihan Anda. Lebih dari sekadar memiliki SSL dan mengenkripsi informasi dalam database. Anda juga harus memantau akses, mendeteksi intrusi, memiliki sistem yang dapat memberi tahu hanya orang yang terkena dampak jika terjadi pelanggaran (dan menentukan data apa yang mungkin telah dikompromikan), dll.
Kemudian, ada akses fisik ke server, jaringan, dll. Ini berarti kabinet terkunci yang tidak dibagi pada server yang Anda miliki di mana LAN fisik juga dilindungi. Kepatuhan tidak akan murah, atau mudah.
Sungguh, habiskan segala upaya yang mungkin untuk membongkar ini ke pihak ketiga. Tanggung jawab itu sendiri tidak sebanding dengan risikonya kecuali jika Anda berbicara transaksi yang jumlahnya mencapai ratusan ribu (masukkan mata uang Anda di sini) setiap bulan. Dalam hal itu, biaya yang Anda simpan mungkin membenarkan membawa bakat yang dibutuhkan untuk menerapkan dan memantau sistem yang menyimpan informasi. Kamu akan membutuhkan:
- Pemrogram sistem (Anda akan memerlukan kait audit level sistem file dan kernel)
- Guru IDS / IPS (kecuali jika Anda menyukai vendor lock-in)
- 24/7/365 staf untuk memantau peringatan yang dihasilkan dari sistem yang dirancang para ahli. Orang-orang ini tidak murah, mereka membuat keputusan untuk menarik colokan penagihan atau melaporkan bug dalam algoritma yang Anda gunakan.
Dan lagi, Anda bisa menurunkan semua itu ke pihak ketiga, cukup murah.