我正在从表单中的使用中捕获信用卡详细信息,然后将这些表单数据发送到PayPal或Braintree等付款网关。
信用卡捕获表单以SSL(HTTPS)托管,并使用cURL将信用卡数据发布到支付网关。由于我们没有将信用卡数据保存到我们的服务器,因此如果我们遵循这种情况,我们需要PCI complaint。
答案 0 :(得分:4)
你不应该这样做! 处理信用卡信息的表单应始终指向支付网关作为目标,以便您的服务器不处理任何敏感数据。 一个好的支付网关会发回一个缩短版的信用卡号码和验证状态,以便存储在您的数据库中,并可能在电子邮件或用户管理区域显示该用户。 您还可以使用javascript从表单中获取缩短的信用卡号(以及号码!),并在将表单发送到网关之前通过ajax将其发送到您的服务器。
答案 1 :(得分:2)
如果您正在处理和传输信用卡信息,那么您必须符合PCI标准。周期。
答案 2 :(得分:1)
我同意发布的其他两个答案......
由于您可以访问敏感数据,无论您是否决定存储数据,都可以作为中间人使用......您可以......并且您需要符合要求。
如果您将它们传递给另一个与Paypal /等不同的表格,并且您实际上从未收到任何客户信用数据......这是正确的方法。
PCI DSS合规性的智能方法
通过使用我们的透明重定向(TR)和保险柜,商家可以在几天内实现PCI合规性。 TR和Vault将消除处理,处理或存储信用卡数据,因此您有资格获得自我评估问卷A,这是四个SAQ中最短的。
答案 3 :(得分:0)
您可能仍在处理敏感数据。如果有人攻击您的服务器,他们可以轻松拦截您的通信并获取此数据,即仍需要妥善保护。
您可能会在PCI Website
上找到正确的答案答案 4 :(得分:0)
简短的回答是肯定的。有多种级别的PCI合规性,所有这些都取决于您的年销售量。
大多数商家每年的交易次数少于20,000次,这提供了一些自我评估的自由,以确认您符合规定。虽然Magento具体,但This article是对景观的非常好的总结。
这里的关键点是,您应该将此作为核心业务工作流程的一部分。
答案 5 :(得分:-1)
答案是否定的,如果您没有存储信用卡详细信息并使用安全网关,则不必符合PCI标准。但是,你需要你已经拥有的https。