来自一个现在正处于 PCI 合规性问题中间的人.. 不。如果您使用第三方服务来输入和处理您的信用卡，则无需符合 pci。如果我的小客户经营一个专门从事珠宝的商业网站。

只要没有在您的系统上输入（尤其是存储）持卡人数据（PAN、磁条、PIN 块等），您就可以让处理支付的供应商处理所有负担。

要检查这是否属实，您应该只向您的提供商提供特定数量的欠款或逐项清单。如果您要向他们提供除此之外的任何交易细节，您至少需要查看一份基本的合规调查问卷。

请注意，我不熟悉您的供应商。如果它是像 PayPal 这样的东西，这将是真的。

如果我正确理解您的情况，您客户的网站本身不需要符合 PCI，但您的客户有责任选择符合 PCI 的第三方支付服务提供商 (PSP)。检查合规性的最安全方法是查看 VISA 全球合规 PSP 列表，并确认您计划使用的公司已列出。该列表在这里https://usa.visa.com/merchants/risk_management/cisp_service_providers.html 它曾经是您必须下载和搜索的 pdf 文档，但他们最近切换到了可搜索的在线列表。

您的客户收单银行（来自卡交易的资金最终流向）是您的合规要求包含或不包含哪些内容的最终仲裁者，因此最好也与他们核实一下。

更新： 实际上我只是重新阅读了您的原始问题和您客户的网站可能毕竟需要符合 PCI 标准，具体取决于您实施支付功能的方式。如果站点正在处理、存储或传输卡号，则需要 PCI 合规性。根据您所说的，您没有处理或存储卡详细信息，但您的网站可能正在传输它们。当您的客户的客户下订单时，如果他们将他们的卡号输入到发布到您网站的表格中，然后您将其重新发送到 Stripe，那么您现在正在传输卡的详细信息，即使您的网站上只是为了一微秒。但是，一些 PSP 有一种支付功能的方式，可以将卡的详细信息直接发布给他们，并且卡的详细信息永远不会触及您的网站。如果 Stripe 正在做的是后者，那么我上面的原始答案仍然适用。如果是前者，那么你的客户' 您的网站可能需要每季度进行一次扫描。我再次回到这样一个事实，即收单银行实际上对您的合规要求做出最终决定。

要了解您自己的合规负担，您必须了解 PCI 的目标。上面的评论说你有一个合规负担，因为你传输卡数据是真实的。但是，如果您对存储的（非信用卡）数据（持卡人姓名、发货地址、电子邮件等）不小心，那么您可能会发现自己正处于昂贵的 PCI 审核中（或者更确切地说，您的客户会这样做）。根据定义，黑客不是诚实的人。

如果他们只是简单地侵入您的数据库，获取所有购物者的电子邮件，然后向您的所有购物者发送电子邮件，告诉他们他们已经入侵了您客户的 eStore 并获取了每个人的信用卡信息（即使信用卡数据部分是谎言）并提供准确的运输地址会怎样？信息作为他们拥有数据的证据？您客户的商店将失去大量业务，并且必须支付 PCI 审计费用。

PCI 合规性给您带来了防止这种情况发生的负担。我已经看到这种情况发生在一些（以前的）客户身上——“以前的”，因为当他们不愿意为适当的安全措施买单时，我退出了这个项目。在妥协后被召回。如果他们不保护自己的数据安全，黑客就会想办法让他们付钱……