我有一个申请要求信用卡信息向第三方公司付款。
我的应用程序捕获CC,CVV,到期日期等,然后将该信息传递给其向客户收费的API。
我一直在阅读有关PCI合规性的内容,但根据以下图片,我不太清楚我需要达到的合规程度。
最后,如果我从同一个客户购买新产品,我想弄清楚最适合我的选择。由于我不向客户收费但第三方收费,如何存储付款信息的最佳方式是因此用户每次想要使用我的服务时都不需要输入他的信息?从PCI合规性角度来看,将支付信息存储在我的服务器上会有什么影响?有没有办法我不需要为用户存储付款信息,但我可以将他们的信息(如果他们是回头客)传递给第三方API并且仍然是PCI合规性?
答案 0 :(得分:1)
由于您正在构建一个Web应用程序(甚至嵌入到Facebook信使中),如果您正在构建收集卡片数据的表单,那么您将会被置于"购物车 - 付款页面直接发布" (即A-EP)或"购物车 - 付款页面未外包" (这是D-Merchant)。如果可以的话,真的想要在A-EP下,但你可能无法做到。
两者之间的区别在于卡数据是否穿过您的服务器。使用" Direct Post",网页本身将数据(通常通过HTTP POST)发送到支付API,您无法捕获它。使用" Not Outsourced",数据将返回到您的服务器,然后服务器调用支付API并将其传递。在这种情况下,您将不得不通过整个D-Merchant调查问卷(迄今为止最长的,除了D-Service Provider),并且可能设置了一个特殊的环境以防止任何尝试阅读卡数据在转移到您的服务器时。
卡片数据中没有任何一部分值得存储以尝试识别重复购买者,因为您无法获得实际完成付款的付款数据。相反,您应该看看您的支付提供商是否提供了任何类型的" token",可用于稍后识别该支付数据。如果是这样,您可以将该令牌与客户关联(但是您确定了客户)并在返回时重复使用它。
进一步阅读:https://www.pcisecuritystandards.org/documents/SAQ_InstrGuidelines_v3-1.pdf