我想知道这里是否有人使用过authorize.net“Advanced Integration Method”API。
我已经在他们的网站上搜索了常见问题解答,但我似乎无法找到一个直截了当的答案或者在这个时刻找到他们。
我知道API需要SSL(显然),但是如果您没有存储信用卡号,他们的TOS协议是否需要PCI合规性或任何类型的认证?此外,如果有人碰巧知道,他们的服务条款中是否有任何内容禁止将其用于存储商家凭证的应用程序(当然是明确的商家许可)?
为了澄清,在最后一部分,我正在谈论一个SaS应用程序,为多个商家(同一服务器)存储商家ID和交易密钥。
答案 0 :(得分:5)
是的,它需要PCI合规性。 AIM要求您在将其发送到Authorize.Net进行处理之前,先在您自己的Web服务器上收集用户数据。这意味着您正在处理和传输信用卡信息,因此必须符合PCI标准。
这不是Authorize.Net的要求,而是支付卡行业要求。 Authorize.Net不对商家如何处理他们的付款承担责任,因为他们不违反Authorize.Net的服务条款。因此,如果您不符合PCI标准,Authorize.Net并不关心。但是,如果他们的网站不符合PCI并且使用AIM API,那么发卡机构会对商家提出问题并提出问题。
答案 1 :(得分:2)
如果您使用AIM,则您可以使用PCI。许多开发人员如果只是使用AIM api将卡数据传输到Authorize.net,他们希望他们不会在范围内。
根据目前的PCI规则,所有这些开发人员都是错误的。由于卡信息正在转移您的服务器,一个坏人可能会闯入您的服务器并窃取卡信息。无论多么不可能,你现在都处于PCI范围内。
要使用Authorize.Net并远离PCI Scope,请使用SIM或其新Direct Post Method集成方法。两者都使您的服务器超出范围。
有关Auth.net
的详情答案 2 :(得分:1)
整个PCI合规计划完全混乱,并且将变得无法执行,因为没有真正明确的答案。存在的少数是模糊不清的。
指南明确指出,如果您存储或传输敏感的付款数据,那么您就在范围内。您可以使用支付标记化服务进行存储,并直接发布到支付网关进行传输,从而超出范围。这两种技术都会让你超出范围。
直接发布对我没有意义。我不知道服务器后备步骤如何符合传输条件,但直接发送到支付网关的帖子并不合适。您在两种情况下都会发送敏感数据。如果敏感数据是通过安全的回传接收的,并且在将其发送到网关后立即丢弃,那么区别是什么?
当您发现网络浏览器不必符合PCI标准时,您会笑死。它甚至可以在本地存储支付数据,并通过不安全的渠道传输!你可以说盗窃的可能性较小,因为它不是公共服务器,而是由信用卡用户操作。无论如何,在回发期间支付数据在服务器上处理的微小时间应该具有相同的考虑因素。
此外,浏览器可以在任何地方运行,包括公共信息亭和电话。
答案 3 :(得分:-1)
至于问题的第一部分..不,它不需要PCI合规性。使用Authorize.net的一个主要优点是将PCI合规性卸载到它们。话虽如此,使用Authorize.net当然不会自动消除您的任何PCI责任。