当卡片详细信息由Paypal等第三方处理时,适用的PCI-DSS适用哪种电子商务合规形式?
我正在构建一个使用Paypal Express的定制购物车系统,因此卡的详细信息永远不会打到我的服务器上。但是,我确实保留了客户的详细信息,因此在代码和硬件级别上,必须遵守哪些合规性?
答案 0 :(得分:1)
根据PCI DSS,您只需加密客户详细信息(如果它们与PAN一起存储(也称为信用卡号))。由于您没有存储或交易PAN,因此您不需要做任何额外的事情。
请参阅PCI DSS上的第5页:
https://www.pcisecuritystandards.org/security_standards/pci_dss_download.html
答案 1 :(得分:1)
如果信用卡数据从未实际点击您的服务器(包括因表格发布而导致的RAM),则PCI-DSS不适用。将您的信用卡处理外包给合规的第三方是迄今为止最容易合规的方式。