使用支付网关和PCI合规性

时间:2010-07-08 09:34:18

标签: payment-gateway pci-dss

我正在考虑使用eWay作为支付网关。他们提供两种选择。一种是允许用户在eWay托管网站上输入信用卡数据,另一种是使用我自己的表格并通过我的服务器将信用卡数据发送到eWays后端。第二个选项(their page with details)似乎更适合我,因为用户永远不会离开我的网站并维持品牌。 现在,我采访了支持,他们说只要我使用SSL,我的网站就会符合PCI标准。所以基本上我可以允许用户在我的网站上提供CC号码并通过XML将其发送到eWays后端。只要我不存储敏感数据,但只转移就可以了。到目前为止,我认为只要CC数据到达我的服务器,我的网站需要符合PCI标准,但现在我不确定。如果有人能向我解释它是如何真的那样,那将非常感激。

4 个答案:

答案 0 :(得分:7)

如果您的系统处理卡数据,那么它的PCI范围必须符合PCI标准。

  

问:PCI适用于谁?
   A: PCI   适用于所有组织或   商人,无论大小或   交易数量接受,   传输或存储任何持卡人   数据。换句话说,如果有的话   该组织的客户   使用a直接向商家付款   信用卡或借记卡,然后   PCI DSS要求适用

http://www.pcicomplianceguide.org/pcifaqs.php

编辑; “eWays”作为您的网关提供商是第1层,并且它支持他们实际上确保您的PCI兼容,所以它们有点狡猾,他们可以通过SSL spiel掌控你。

答案 1 :(得分:7)

好像你收到了很多相互矛盾的答案。我在一家支付公司工作并接受过一级服务提供商审核,我每天都会处理商家及其PCI要求,所以我想我可以帮你解决这个问题。

现实情况是,如果您接受信用卡,即使您外包所有持卡人数据功能,您也必须符合PCI标准。诀窍在于,您必须满足的标准远远低于支付网关必须满足的标准 - 但这并不意味着“PCI不适用”。您不必处理非常严格的网络安全要求,但您必须遵守PCI DSS的某些方面,并且您需要每年进行一次自我评估审核。 `

有关您必须处理的DSS部分的详细信息,请转到https://www.pcisecuritystandards.org/saq/instructions_dss.shtml并单击SAQ验证类型1(问卷A)的链接。这将告诉您作为商家必须实施的PCI DSS的哪些部分,并且所有持卡人功能都已外包。

希望这有助于为您解决问题!

答案 2 :(得分:2)

简而言之,如果您接受付款(即使您完全外包),您需要符合PCI标准。确定需要满足多少安全控制的最大因素是您正在使用的支付网关类型。

我帮助创作了white paper for the Drupal community,但这些概念全面适用。我强烈建议阅读它。如果您有任何反馈,请在github问题队列中提交问题。

答案 3 :(得分:1)

我们最近使用其他支付网关提供商为电子商务网站实施了信用卡交易。这就是我们对PCI DSS合规性的了解。

  1. 如果您的业务需求是使用其信用卡信息存储客户信息,那么您的服务器和网络应该符合PCI标准
  2. 但是,如果使用信用卡数据存储客户信息不是关键要求,那么您使用ssl形成支付网关提供商。他们应该提供自定义表单的方法,以便您可以将其标记为反映您的公司。
  3. 详细的PCI DSS要求可在此链接PCI Data Security Standards

    中找到