@Jeremy，您需要做的第一件事是阅读PCI-DSS。
那应该为您提供一个非常好的初学者清单。此外，在这件事上你真的别无选择，如果你想接受信用卡，你必须遵守 PCI。

事实上，你最好不要接受信用卡，而让其他服务为你做这件事——Paypal、支付网关等等。在审查 PCI 之后，您可能会同意我的看法……

这里有一些亮点，远未完成：

• 使用带有证书的 SSL/TLS 保护所有通信，包括（服务器的）加密 和 身份验证
• 对所有用户进行身份验证（围绕密码策略等进行大量工作）
• 控制对应用程序、服务器和数据库的访问
• 从不存储信用卡详细信息，只存储加密的 PAN
• 永远不要存储轨道数据、CVV等
• 保护您的网站，使其不易损坏
• 监控、政策等等等等等...

为了补充已经给出的答案，如果您要处理信用卡详细信息，那么非常值得查看OWASP Top 10并确保您考虑到那里的所有风险（证明这可能有助于您的 PCI 合规性以及）。

有关这方面的一些更深入的信息，您还可以查看OWASP 开发指南。

FWIW 我同意@AviD 的观点，如果您可以避免处理信用卡信息，那么从合规性和可能的​​安全性角度来看，它会让您的生活变得更加简单。

如果您正在构建电子商务网站，那么您应该意识到您必须承担什么责任。在这一点上，我建议您运行安全审计和渗透测试（两者不相等）。当然，您不应该只依赖安全提供商的解决方案和提示——我推荐的是事后检查。

@AviD 提到 PCI-DSS，用户数据稳健完整性和安全解决方案的关键是什么。但是，许多开发人员未能满足所有标准要求。这就是为什么如果您不确定如何开始、该做什么或只是想感到安全 - 我建议您联系进行安全检查的公司。

更新：只是为了澄清-我建议的是在构建应用程序后应该执行的步骤，当您认为您已准备好开始为广大受众运行它时。后来可能会发现你根本没有准备好，需要几个修改步骤。