我有这样的购物车流程:
第4页。收据页
重复计费是以后的要求,具有可变金额和时间表。 (用户必须能够返回并更改其日程安排而无需再次输入CC编号。)
以下是不想要做的事情:
由于我需要一个确认页面,我想我需要使用braintreepayments提供的某种标记化系统。您基本上将信用卡号存储在他们的服务上,他们会返回一个代表该号码的令牌。然后,您可以随时对该卡收费 量。这当然是最灵活的解决方案。
我试图弄清楚这是否是最好的解决方案:
“最纯粹”最安全的方法似乎是重定向到braintree(或提供类似网关的其他人)。
编辑(分配赏金后):
我的结论是,我必须有一个系统,我们只需要满足PCI的A级。正在更详细地研究PCI,这些问卷与卡片不存在的商家(即电子商务)相关。
SAQ A :(当CC号码甚至没有触及我们的服务器时)。如果你在网上销售,你仍然需要填写这份问卷,但这很容易。
SAQ D :(即使我们不存储,CC数字也会触及我们的服务器)
看看这些问卷,揭示了需求之间的巨大差异。 PCI要求经常被误解为一个简单的列表,例如“维护防火墙”,“安全策略”,“限制物理访问” - 但如果您实际阅读问卷D,您会看到它有更多问题和要求的顺序。例如,你必须回答你的服务器是否受到摄像机的保护,以及你的服务器上有哪种数据加密。
我真的很高兴知道那里的实际产品或提供商将有助于我做我想做的事情。如果真的只有1或2家公司让我这样做,那么我需要知道。
我与Braintree没有任何关系,只是我已经设法进入他们的电子邮件营销列表。他们只是我设法找到的唯一一家这样做的公司。如果你正在经营另一家公司,那么请务必吹自己的小号。随着时间的推移,PCI要求将变得越来越严格,任何已经阅读过我的问题的人都可能已经意识到这一点。
答案 0 :(得分:5)
是的,如果将CC号存储在内存中,这很重要。当卡号接触您的网络时,您就可以进行PCI。
我不为Braintree工作,但为满足您需求的公司工作。您需要组合标记化并使数据到达外部站点。我们有一个解决方案,可以解决重定向到外部网站的需要。 (我很自豪能够做到这一点,人们为此疯狂。)它专门用于解决你提到的一切。 (是的,你并不孤单。)
我不会因为自我推销而偏向您的搜索,因为我确信有很多人在那里做这件事。 (另外,我不是正式的营销能力,也不想为自己造成任何问题。)
祝你好运。更新:您可以成为一家小型公司,但仍然可以达到第1层。这完全取决于数量,如果您第一次就做好了,如果您达到更高等级,则无需更改。如果您没有存储CC号码(通过标记化或其他选项),那么如果您需要参与第三方审核员,那么就会限制应用程序和服务器的PCI需要做的事情。这只是一个问题。
如果卡号完全到达您的服务器,那么直到该服务器的所有内容都在PCI的范围内。审计员不会接受将CC号暂时存储在内存中的事实应该限制服务器的范围,这是非常愚蠢的。但你是对的;透明重定向,第二站点重定向,甚至简单的回发都无法保证数据不会被盗。 PCI正在设置障碍以使数据泄露变得困难,然后能够说你已尽力防止数据被盗。 (我的比喻是,PCI将指责指向用户方向的所有点,而不是将业务一直指向处理器的人。)
关于PCI的一个真正的大问题是,如果你达到审计师需要参与的程度,你无法预测规则的执行有多严格。每个审核员对PCI DSS要求的解释略有不同,即使是审核ROC报告的人也会突然认定他们不喜欢您正在做的事情。你关心的并不重要;重要的是,PCI人员是否会接受您的ROC,或者他们是否会对规则实施一些新的解释。
我曾与许多审计师和许多大公司合作过PCI。现在的解释是限制范围意味着卡号不能触及您的网络。这对您的影响完全取决于您当前或未来的数量。
答案 1 :(得分:4)
如果您不将用户重定向到其他网站,则必须填写表单D.它适用于所有具有PAN的系统,即使它们未写入磁盘也是如此。如果你刚刚开始,我建议你去重定向路线,这样你就可以避免这种情况。 PayPal的信用卡服务实际上是一个合理的选择。如果不出意外,它们又大又坚固,不太可能去任何地方。
完全PCI合规性耗时且昂贵。我认为通常最好推迟,直到企业有一些收入。
答案 2 :(得分:3)
以下是一般经验法则:如果您不阅读,存储或处理PAN(CC#)和/或exp日期,则不需要PCI合规性。如果您甚至远程触摸该卡号,则需要进行PCI合规性。
为什么不让它变得简单并做PayPal?
答案 3 :(得分:1)
如果您想最小化PCI要求,请重定向到托管付款页面或使用iFrame解决方案。有关详细信息,请参阅我帮助创作的Drupal PCI Compliance white paper。