我正在处理网络应用程序,我将不得不接收信用卡详细信息,但这样才能将这些详细信息传递给配置的付款处理程序并接收将要存储的卡ID /令牌。
通常这是在前端通过JS请求直接向支付处理器完成,支付处理器将返回nonce,然后后端完成其工作。但这不是我的情况。
即使我不存储CC数据,我将在技术上处理它们(CC数据进入服务器和我的代码)所以我需要PCI认证。
但我不是一家能负担得起的大公司,所以我想避免它,至少目前是这样。
所以我想知道从安全性和PCI DSS的角度来看是否可以创建可以接收CC数据的Google Cloud功能,调用应用程序进行验证和支付处理器配置,将CC数据发送到选定的付款处理器,将令牌发回应用程序以执行需要执行的操作,并将结果从应用程序返回给客户端。
从技术上讲,CC数据仅进入经过认证的Google Cloud功能实例,并且CC数据仅安全地提交到也经过PCI认证的支付处理器。我认为在这种情况下,自我评估问卷D-服务提供商应该足够,而无需认证。
我的假设是否正确?
答案 0 :(得分:0)
如果您是服务提供商,那么无论您使用何种设置,服务提供商都需要SAQ D.基本上,如果从信用卡收取的钱进入某个商家账户,那么您就是服务提供商。
SAQ D是SAQ中最难的,与“认证”(没有认证)或RoC的区别在于,基本上可靠的机构会验证您是否已正确完成SAQ。如果您每年处理一定数量的交易,您只需要RoC,每年可以达到25,000美元。
是的,您应该能够使用GCP云功能,这将有助于您的PCI合规性,但实际上它不会对成为PCI兼容所需的整体工作产生那么大的影响。您仍需要制定所有政策和程序,代码审查,SDLC,渗透测试等。这是139页的要求。
好消息是,您在技术上不需要符合PCI标准,这取决于商家使用PCI兼容提供商,他们通过与您签订合同来满足他们的PCI需求。显然不是最好的方法。
与QSA谈谈,看看是否还有它可能值几百美元的咨询费。如果您对单个客户端执行此操作,则可能不会将其视为服务提供商。
祝你好运,听到你最终做的事情真是太好了。