要进行Paypal存储的信用卡付款,该应用是否需要通过任何PCI或QSS合规认证流程?
注意:我使用Paypal保险库存储信用卡信息与paypal。
答案 0 :(得分:0)
如果您使用的是PayPal Vault,那么您很高兴。只需确保您没有在数据库,日志文件或其他任何地方保存任何信用卡详细信息。
如果您遵循这些程序并且由于任何原因您必须申请某种PCI合规性(通常不是这种情况),那么您将能够以低价方法快速轻松地通过。
你可能根本不需要担心,除非你正在用硬件做某事或者你正在与需要它的特定公司打交道。
答案 1 :(得分:0)
如果您通过HTTPS将详细信息传递到PayPal保险柜(REST API),则信用卡号码在请求中。虽然这是SSL(实际上是TLS)安全,但由于最终用户在将其传递给PayPal之前直接在您的网站上输入信用卡详细信息,您需要通过PCI合规性, SAQ C 甚至 SAQ D 我相信。
https://www.pcisecuritystandards.org/documents/Understanding_SAQs_PCI_DSS_v3.pdf
您是否考虑过Braintree整合?
Braintree拥有完全符合PCI标准的客户端部分(以及非常好的保险库解决方案。)他们也是PayPal公司,如果您需要,还可以保管PayPal帐户。
他们有一个快速的"插入" UI解决方案: https://www.braintreepayments.com/en-ie/products-and-features/drop-in-ui
或者如果您需要更多定制的东西,他们会有一个名为"托管字段的产品"
两者完全符合PCI标准 SAQ A ,因此如果您想避免进行更困难的PCI合规性审核,这可能是最佳解决方案。