没有PCI合规性的Paypal API

时间:2014-04-08 15:06:42

标签: paypal pci-dss

从各种讨论中可以清楚地看到,如果我在我的网站上接受信用卡并致电Paypal API将CC传递给PayPal,我也必须符合PCI标准。

在我们的解决方案中,用户使用我们网页上的表单提交信用卡信息。然后,我们将这些信用卡信息发送给Paypal,并从paypal接收我们可以存储在数据库中的ID。在将来的交易中,用户无需再次输入信用卡信息。我们只需将该ID发送到PayPal代替信用卡信息。

为避免PCI噩梦,我们希望依靠Paypal toodls / widgest以我们收到相应ID的方式收集此信用卡信息。问题是,Paypal有这样的小部件吗?我有什么选择?

4 个答案:

答案 0 :(得分:0)

您是否考虑过使用PayPal Advanced?此帐户类型允许您在“iFrame”内捕获您网站上的信用卡,PayPal将处理所有PCI合规性。 PayPal Advanced帐户每月仅运行5.00美元,而Pro帐户每月运行30.00美元,而不考虑PCI合规性。

至于将来的购买使用交易ID,此功能称为参考交易,也可以添加到您的帐户。

答案 1 :(得分:0)

您也可以尝试Braintree。截至2013年12月,他们是PayPal的子公司。

答案 2 :(得分:0)

Paypal有几种不同的API可以使用。它们列在这里:

https://devtools-paypal.com/tryit

我认为他们的自适应付款选项可能适合您:

https://devtools-paypal.com/guide/ap_simple_payment?interactive=ON&env=sandbox

在此模型中,您将让客户完成您的采购流程,选择产品,数量等。您确定价格,然后按照PayPal自适应支付API(特别是"简单付款"功能) )向PayPal发送付款详细信息,包括您计算的价格。然后用户被重定向到PayPal网站,在那里他们可以输入他们的信用卡信息或PayPal帐户详细信息并接受收费。然后将它们与付款详细信息一起重定向回给您,然后继续。

答案 3 :(得分:0)

根据应用程序如何将数据发送到Paypal,您的站点仍需要符合PCI规范,使用SAQ A或SAQ A EP。

根据PCI委员会:

  

SAQ答:交付给消费者浏览器的付款页面的所有元素仅来自PCI DSS验证的第三方服务提供商

     

SAQ A-EP:交付给消费者浏览器的支付页面的每个元素都来自商家的网站或符合PCI DSS的服务提供商

总体而言,关注点是确保执行重定向的网站是安全的。网站有可能被修改,以便可以将iFrame,直接POST或其他方式发送到恶意网站。