Ложно, я боюсь.
Если вы размещаете страницу, которая принимает данные карты, то эта страница, на которой работает устройство, и сеть, к которой он подключен, должна соответствовать PCI. (Что если кто-то скомпрометирует orderform.html и перенаправит собранные данные в другое место)
Если вы посмотрите, есть большая вероятность, что ваш some-payment-gateway Inc предлагает возможность перенаправить пользователей на страницы, на которых они размещены, для сбора сведений о карте - это почти всегда разумный выбор поскольку это снимает с вас основную часть обязательств по соблюдению обязательств.
Re Braintree API
Я погуглил их и увидел:
"Наш API прозрачного перенаправления
полностью исключает обработку и
обработка данных кредитной карты от
ваше окружение ... Прозрачный
Перенаправление не является размещенной страницей
решение; это полностью прозрачно для
конечный пользователь "
Что кажется немного парадоксальным, похоже, что они действительно ожидают, что вы соберете данные карты на своем сайте - поэтому вам нужно соблюдать требования, которые они подтверждают здесь .
Очень приятно, что у них есть " Загрузите предварительно заполненную SAQ A версии 2.0 и убедитесь, что она соответствует деловой практике. " ссылка и рекомендация QSA, которой вы можете воспользоваться, но Я хотел бы отметить, что подписание документа SAQ является юридически обязательным, как и любой контракт; если ваша система взломана и есть мошенничество, это может стоить вам очень много.