我们将使用一些具有安全链接的付款服务,其中将发布付款表单数据(例如https://some-payment-gateway/securelink/sslpmt) 我们的表单将包含付款的所有必填字段: 1.客户信息 2.账单信息 3.信用卡信息 我们的表格是否也应该托管在安全网站上? 据我们了解,即使我们的网站不安全,例如: http://our-site/orderform.html 如果它包含:
< form method =“post”action =“https:// some-payment-gateway / securelink / sslpmt”> ... < /形式>
表单字段将通过安全连接传输,不会泄露任何数据。 我们是真是假?
答案 0 :(得分:4)
我很害怕。
如果您托管的页面接受卡详细信息然后该页面,则其运行的计算机和计算机所连接的网络必须符合PCI标准。 (如果有人破坏了orderform.html并将收集的详细信息重定向到其他地方,该怎么办)
如果您认为您的 some-payment-gateway Inc 很有可能将用户重定向到他们托管他们的网页以收集卡片详细信息 - 这几乎总是明智的选择,因为它消除了你的大部分合规义务。
Re Braintree API 我用Google搜索并看到了:
“我们的透明重定向API 完全消除了操作和 处理信用卡数据 你的环境......透明 重定向不是托管页面 解;它是完全透明的 最终用户“
这似乎有点自相矛盾,似乎他们确实希望您在网站上收集信用卡详细信息 - 因此您需要符合要求,并确认here。
很高兴他们有一个“下载预先填写的SAQ A版本2.0并验证它与商业惯例一致。”链接&您可以利用的QSA建议 - 但我要指出,签署SAQ文件具有法律约束力,就像任何合同一样;如果您的系统遭到破坏并且存在欺诈行为,则可能会花费您很多。