Требуется ли соответствие PCI с Payflow Link?

Question

Я пытался позвонить в PayPal самостоятельно, и представитель по телефону даже не знал, что Payflow Link может работать таким образом, поэтому я не доверяю его советам. Все мои поиски встретили смешанные ответы.

Я создаю сайт электронной коммерции, используя Payflow Link, где обработка CC обрабатывается на страницах, размещенных на Paypal. Тем не менее, я рассматриваю возможность реализации расширенного метода интеграции, при котором клиенты вводят всю информацию о CC в форме, размещенной на моем сервере, но форма получает POST'ed через SSL непосредственно на серверах Paypal. Используя этот метод, я могу поддерживать брендинг своего сайта, за исключением необходимой страницы получения Paypal.

Информация CC, использующая этот метод, никогда не должна касаться моих серверов. Они должны быть PCI-совместимыми? С технической точки зрения, я не понимаю, почему это так, но с юридической точки зрения я теряюсь в жаргоне документов PCI-DSS. Сайт совершает около 1000 транзакций в год.

Answer 1

Я исследую ту же проблему.Если говорить с нашим поставщиком PCI-совместимости, похоже, что MikeH неверен.Поскольку мы размещаем форму на нашем веб-сайте, сам сервер должен быть совместимым с PCI.Это потому, что форма может быть взломана, если сервер не защищен.

Я вижу два варианта:

1. Сохраните форму на нашем сайте.Сделайте сервер безопасным (наш веб-хостинг в настоящее время не проходит сканирование PCI, они работают на нем).Заполните более длинный и подробный SAQ Validation Type 5 (Анкета D).

2. Используйте форму захвата кредитной карты Payflow Link.Не нужно беспокоиться о сервере, можно использовать гораздо более короткий SAQ Validation Type 1 (Анкета A).Но мы теряем брендинг и можем потерять продажи, потому что страницы ссылок Payflow выглядят так по-разному.

SAQ D некрасиво : - (

Answer 2

Используя модель, которую вы предлагаете, вам действительно нужно быть PCI-совместимым, но на гораздо меньшем ограничительном уровне, чем если бы данные касались вашего сервера.

Для получения подробной информации перейдите к https://www.pcisecuritystandards.org/saq/instructions_dss.shtml и щелкните ссылку для проверки типа SAQ 1 (Анкета A).Это точно скажет вам, какие части PCI DSS вы должны реализовать в качестве продавца со всеми внешними функциями держателя карты.

Надеюсь, это поможет!

Answer 3

Если вы принимаете платежи по кредитным картам через свой веб-сайт, вы должны соответствовать требованиям PCI. То, как далеко вы должны зайти, будет зависеть от вашей реализации. Если вы размещаете форму, которую пользователи используют для осуществления платежей, вам необходимо использовать сертификат SSL, чтобы страница была зашифрована (даже если только для того, чтобы убедиться, что значок замка отображается в браузере пользователя. Без него вы не сможете больше 1000 транзакций в год).