我所问的类似问题已在下面的链接中得到解答。
Paypal payments pro and pci compliance
但这个问题已经有三年了。如果有人能给我一个最新的答案,我将不胜感激。
在PayPal的网站上,它提到为了使用PayPal Pro,您必须获得PCI / DSS认证,我正在尝试在我的一个电子商务网站上实施PayPal Pro。我不打算存储任何卡的详细信息,并将使用SSL证书安全地传输数据。
我是否还需要执行其他任何操作才能使PCI / DSS兼容并保持我的PayPal Pro帐户有效?
有没有简单的工作来完成这项工作?例如,RackSpace提供符合PCI / DSS标准的服务器。切换到它们将帮助我实现大多数基于网络的要求。
答案 0 :(得分:1)
只要您使用可靠的SSL并且您没有像您提到的那样将任何敏感数据保存到您自己的服务器,那么您就可以了。
当您将信用卡详细信息保存到自己的服务器时,事情变得更加困难。
答案 1 :(得分:1)
PCI DSS合规性涵盖了物理安全,网络安全,操作安全等众多方面。
如果您使用的是Rackspace,那么您的物理安全部分可能超出范围,但仍然会出现网络安全部分,如防火墙,IDS,HIDS,集中日志监控系统以及操作系统安全(Linux / Windows)
拥有符合PCI标准的基础设施可以帮助很多,但托管网站不会导致PCI合规性。
PS:PCI DSS 3要求使用TLS 1.2而不是SSL:)
答案 2 :(得分:1)
PCI DSS仅涵盖存储,处理或传输持卡人数据的实体,这是一种常见的误解。你需要意识到:
如果您阅读常见问题解答的最后几段,则每种情况都有一些例外情况。
那就是说,您需要回答的第一个问题会极大地影响您所需的合规水平以及您应该向谁报告的是谁是交易记录的商家? PayPal会收取付款并为您提供每日/每周/每月结算存款减去费用,或者每笔付款直接到您的商家帐户,并且您单独支付PayPal费用。
如果您是记录商家,您将受到商家合规的约束,如果PayPal是您实际成为其服务提供商的记录商家。
当您是商家时,您的银行将根据您的商家级别(http://pcipolicyportal.com/what-is-pci/merchants/)决定您提供的合规证明。您很可能能够自我评估。如果您使用的是PayPal的嵌入式支付表格,那么您很可能有资格获得SAQ A,可能是SAQ A-EP。如果您使用API,那么您很可能需要完成SAQ D.所有可从PCI SCC website下载。
当您是服务提供商时,您将受到记录商家的支配,在这种情况下是PayPal。他们可以规定他们认为合适的任何合规,因为他们对每笔交易的安全负责。从PCI的角度来看,您可以完成SAQ D服务提供商或合规报告(ROC)和合规证明(AOC),每个都可以从PCI SCC website下载。
TLDR:只需使用PayPal Pro的嵌入式表格,完成SAQ A并完成它。如果PayPal是交易记录的商家,那么他们可以告诉您需要完成哪些合规性步骤。如果您使用API,请完成SAQ D。