我目前正在将支付网关集成到我们的商家页面。我们预计我们网站每月的交易量约为10万到0.5百万。我们的付款页面上有SSL证书。 SagePay和CyberSource等同于最大支付页面定制的是Direct和SOAP API,它允许我在我的服务器上托管支付页面收集付款信息。
我唯一担心的是,我会将这些付款信息发送到我的服务器,然后再将其发送到相应的付款网关。我没有将它存储在会话或数据库中。我们所有的帖子URL都经过SSL认证。
根据PCI合规性,如果我从我的服务器传输支付数据,我应该每年进行PCI审核,安全评估员将进行远程测试和内部测试。
显然,这将是昂贵的。
如果我遵循SagePay Direct集成或CyberSource SOAP API文档,是否需要PCI合规性?
很抱歉成为害虫。我知道这个问题贯穿于这个社区。但我无法看到我特定的集成方法的令人信服的答案。
从专业支付安全顾问那里收到答案会很棒。
亲切的问候,
答案 0 :(得分:1)
如果您使用Sagepay或Cybersource并不重要 - 如果信用卡号码完全触及您的服务器,则您符合PCI-DSS要求。如果您不将它们存储在数据库或会话中,则无关紧要。如果您的服务器甚至看到一个毫秒级的信用卡号和/或CVV代码,那么您就符合PCI-DSS标准。您的集成方法根本不重要,重要的是您的服务器正在处理信用卡号。
答案 1 :(得分:1)
也许您想查看CyberSource的安全接受无声订单帖子:
http://www.cybersource.com/developers/develop/integration_methods/secure_acceptance/