我相信情况比您可能意识到的要丑陋一些。如果我在这种情况下，我会投资自己寻找批发商的竞争对手！我希望批发商提供可以直接接受来自您客户站点的订单的服务，或者更好的是，可以从您的站点链接的页面以允许用户将信息直接输入到批发商的系统中。

PCI-DSS 不会正式适用于您的客户，除非批发商要求他们遵守。您必须了解 PCI-DSS 是业务实体之间的合同要求。这不是每个人都必须遵守的法律。您没有将卡数据提交给信用卡处理器，而只是提交给商家。批发商可能违反了其对其卡处理器的合同责任，但这并没有直接将批发商的客户（即您的客户）暴露于 PCI 特定要求。

话虽如此，可能存在 cc 数据被泄露的客户对您的客户采取法律行动的可能性。 我不是律师，这不是权威的法律建议。 另外，独立于 PCI，我相信美国的每个州现在都有数据泄露通知法，要求您的客户通知客户暴露的数据并在一段时间内提供信用保护，通常至少 1 年，以防数据泄露.

因此，PCI 并不真正适用，但您必须小心处理所有客户数据。现在，让我们讨论可能的方法。

建议使用两种加密方法：加密文件，然后通过电子邮件发送文件；使用使用 S/MIME 的加密电子邮件。就个人而言，我喜欢加密电子邮件的方法。电子邮件可以在内存中构建和加密，因此未加密的数据永远不会落在服务器的驱动器上。编写文件然后对其进行加密会增加一层风险。

使用 S/MIME，您自然会使用带有公钥/私钥对的 x509 证书进行非对称加密。如果您使用加密文件方法，我建议您使用非对称加密，而不是更简单的对称加密。两者之间的最大区别在于，Web 服务器上的非对称解决方案只会持有公钥。如果服务器遭到入侵，攻击者将无法解密消息。只有您的客户端使用私钥才能解密消息。

有几种可用的加密解决方案。GPG是一个健壮、成熟和开源的库。它也有很好的记录和通用性。它可以用于我描述的任何一种方法。

在实践中，我发现基于标准的加密（如 @JaimeCastells 建议的 S/MIME 和 GPG 加密）对于最终用户实际使用是不可行的。让客户经历设置这样的软件来发送信息的麻烦通常是不可行的。安装和使用这些程序并保持对您的私钥的访问确实需要一些体面的技术知识 - 我预见到最终用户通过经销商预订假期的许多问题无法做到这一点。

你可以做的是：

• 在客户办公室的服务器上设置 web 应用程序，如 ownCloud、自定义的 Wordpress 实例等。
  • 如果使用 owncloud，请启用 Owncloud 加密
  • 强制 HTTPS
  • 通过电子邮件向客户发送一个文本表格的链接，他们可以填写他们的信息
  • 强化服务器，加强防火墙，定期更新，所有这些最佳实践的东西
• 使用 box.com 或其他云存储之类的解决方案
  • 同样，设置一个可编辑的文档，客户可以通过该文档提交他们的信息。
• 使用 Virtru 或 Zix 等电子邮件加密解决方案
  • 可能需要注意的是，用户必须记住使用这些机制而不是常规电子邮件。

这样做的好处是允许您或他们的 IT 对访问进行集中控制。它也将通过提供 TLS 加密层的 HTTPS 完成。启用文件系统加密或更好的 Web 应用程序级加密（如我建议的 owncloud 加密）使其更加安全。

我绝对可以告诉您，这不符合 PCI 的条件，而且这里还提出了有关责任的法律问题，这些责任只能由您当地的律师来回答。这只是我尝试提出一种“现实世界”解决方案，该解决方案将大大提高安全性并且仍然可用。

设置burlingtonbankcard.com以处理付款并使用qualys.com进行 pci 合规性