PCI合规性有点复杂。首先，对于共享主机，您需要您所在的提供商来满足他们的所有相关要求。请参阅是否有人在 AWS 上实现了 PCI 合规性？

其次，谁拥有处理卡片的终端，谁就有责任投诉。听起来在这种情况下，您不是处理者，也没有与信用卡公司达成协议。从这个意义上说，您不需要遵守（以下是巨大的警告）

但是，使用终端的人确实需要合规，并且他们在处理卡片过程中使用的一切（包括您作为第三者）都需要实现合规。合规性需要积极审查——审查的深度取决于处理的交易量。

最关键的是，我想知道您在什么情况下会存储信用卡号码而不是实际处理它们。

PCI 合规性与处理的交易量有关。小批量商店不必担心太多。大批量公司只有在满足所有规定的标准并且由 PCI 委员会批准的审核员签署后才符合 PCI 标准。例如，VISA 将这些人指定为每年处理 600 万笔交易的任何人。

https://www.pcisecuritystandards.org/merchants/how_to_be_compliant.php上有商家指南

绝对没有

存储卡详细信息仅适用于某些设置，比这更高级。

这样做不仅不是 PCI 投诉，而且在许多国家/地区根据各种隐私和商业法律（其中许多遵守 PCI SSC 的政策和法规）都是非法的。

此外，通过以这种方式获得的终端处理付款几乎可以肯定是违反 MSA 的服务器。此类违规行为可能会受到罚款或法律诉讼的补救。

它并不理想，老实说，听起来您违反了OWASP a9。结帐过程毫无意义，问题是您的身份验证令牌（THE COOKIE）溢出纯文本。

如果您正在获取 CC 信息，然后通过终端运行它，这是否意味着您正在存储 CVC/CVV？根据 PCI DSS 授权后，您不得以任何理由存储该信息。