Tenemos una aplicación web donde CIM de Authorize.NET y AIM se utilizan para las operaciones de pago. Cuando el usuario compra algo por primera vez, ingresa su número de CC y otra información de facturación en nuestro sitio. Esta información se ingresa y se transmite desde el navegador a nuestro servidor a través de una conexión no SSL. El sitio tampoco cumple con otras reglas de PCI-DSS (como las restricciones de contraseña). Luego, esta información de facturación se transmite desde nuestro servidor web a los servidores de Authorize.NET. El número de CC no lo guardamos nosotros mismos, pero almacenamos (de manera no encriptada) la fecha de caducidad de CC, los 4 últimos dígitos del número de CC, el nombre y el apellido del titular de la tarjeta. Cuando el usuario compra algo por segunda vez, debe elegir usar esta tarjeta de crédito existente para comprar algo.
El ID de inicio de sesión de API y la clave de transacción también se almacenan de forma no cifrada.
¿Es nuestro sitio compatible con PCI? ¿Es una forma correcta de usar CIM?
Editar: ¿Será suficiente simplemente cambiar a SSL en todo el sitio y no almacenar la fecha de caducidad del CC y los 4 últimos dígitos del número CC?