Позвольте мне начать с заявления об отказе от ответственности за то, что я не являюсь экспертом по соответствию PCI.Это мои рабочие знания для работы в качестве разработчика, и они могут быть не совсем точными.Я рекомендую использовать это как отправную точку для дальнейших исследований.
Legal будет зависеть от контекста.В США соответствие PCI не требуется никаким федеральным законодательством.Вместо этого соответствие PCI обеспечивается на договорной основе с поставщиками торговых услуг.Например, вот выдержка из документации ProPay :
Все продавцы должны соответствовать стандарту безопасности данных индустрии платежных карт (PCI DSS).Для продавцов, которые интегрируются в API ProPay, который включает в себя обработку и передачу данных карты напрямую, продавцы должны подтвердить, что они выполнили соответствующие требования PCI DSS.
Если вы хотите обработатьплатежи через ProPay, вы обязаны соблюдать требования PCI.Если вы собираетесь использовать ProPay, в какой-то момент на ранних этапах ваших отношений они попросят официально крестить вас в принятии стандарта PCI DSS, заполнив документы, подтверждающие, что вы соответствуете всем требованиям, изложенным в стандарте PCI DSS.Маленькие торговцы будут иметь возможность подтвердить свою преданность, заполнив вопросник самооценки или SAQ (произносится как «мешок»).Крупные продавцы должны будут нанять консультанта QSA для представления отчета от их имени - о котором я знаю еще меньше .
У вас будет выбор, в какой форме заполнить SAQ, в зависимости отна вашем воздействии данных кредитной карты.SAQ A можно выполнить, если у вас абсолютно нет контроля над тем, как собираются данные кредитной карты.Если вы имеете право на прохождение SAQ A, работа, необходимая для самооценки, должна быть тривиально простой.
SAQ A-EP аналогична SAQ A, но имеет много больше требованийдля самооценки.Для справки: SAQ A имеет 4 страницы вопросов, SAQ A-EP 30 страниц вопросов.SAQ A имеет меньше вопросов, потому что некоторые вопросы просто не актуальны, если у вас нет доступа к данным кредитных карт.
К вашему конкретному примеру: используемая вами библиотека звучит как you несут ответственность за доступ в DOM для извлечения данных кредитной карты из <input> s, которые вы создали.Это делает вас неподходящим для выполнения SAQ A из-за этого требования в части 2g:
Вся информация о всех платежных страницах, доставляемых в браузер потребителя, происходит непосредственно от стороннего поставщика услуг, подтвержденного PCI DSS..
SAQ A-EP (опять же, часть 2g) позволяет вам создать страницу, на которой фиксируются данные, при условии, что вы фактически не отправляете ее на свой веб-сервер:
Веб-сайт электронной коммерции Merchant не получает данные о держателях карт, но контролирует, как потребители или данные их держателей перенаправляются на сторонний платежный процессор, утвержденный по стандарту PCI DSS;
...
Все элементы платежных страниц, которые доставляются в браузер потребителя, берутся либо с веб-сайта продавца, либо с поставщика (ов), соответствующих стандарту PCI DSS;
Следовательно, если вы должны использовать платежный шлюзкоторый хочет проверить соответствие PCI с помощью SAQ, вы будете обязаны заполнить длинную, ужасную форму SAQ A-EPНемного странного.
Как ни странно, Целевая страница Razorpay предполагает, что не требуют, чтобы продавцы были совместимы с PCI.Я скептически отношусь к этому заявлению, но если они на самом деле не требуют соответствия PCI, вам, возможно, не придется добиваться его.Я не могу рекомендовать игнорировать PCI ... но если они никогда не попросят вас подтвердить соответствие PCI, вам никогда не придется заполнять ни SAQ A, ни SAQ A-EP.