Требует ли API authorize.net (AIM) соответствия PCI или какой-либо дополнительной сертификации?

Question

Мне было интересно, использовал ли кто-нибудь здесь API authorize.net " Advanced Integration Method ".

Я просмотрел часто задаваемые вопросы на их сайте, но я не могу найти прямой ответ или связаться с ними в этот час.

Я знаю, что API требует SSL (очевидно), но требует ли их соглашение TOS соответствия PCI или какого-либо вида сертификации, если вы не храните номера кредитных карт? Кроме того, если кто-нибудь узнает, есть ли что-то в их TOS против использования этого приложения для хранения учетных данных продавца (с явным разрешением продавца, конечно)?

Чтобы пояснить, в этой последней части я говорю о приложении SaS, хранящем идентификатор продавца и ключи транзакции для нескольких продавцов (одного сервера).

Answer 1

Да, требуется соответствие PCI.AIM требует от вас сбора пользовательских данных на вашем собственном веб-сервере, прежде чем отправлять их в Authorize.Net для обработки.Это означает, что вы обрабатываете и передаете информацию о кредитной карте и, следовательно, должны соответствовать PCI.

Это не требование Authorize.Net, а требование индустрии платежных карт.Authorize.Net не несет ответственности за то, как продавец обрабатывает свои платежи настолько, насколько они не нарушают условия обслуживания Authorize.Net.Так что, если вы не поддерживаете PCI, Authorize.Net не волнует.Но эмитенты карт могут и будут поднимать проблемы с продавцом, если их сайт не совместим с PCI и использует AIM API.

Answer 2

Если вы используете AIM, вы можете использовать PCI.Многие разработчики с готовностью думают, что они не попадут в сферу применения, если просто передадут данные карты в Authorize.net с использованием API-интерфейса AIM.

Все эти разработчики не соответствуют действующим правилам PCI.Поскольку информация о карте проходит через ваш сервер, злоумышленник может проникнуть на ваш сервер и украсть информацию о карте.Неважно, насколько это маловероятно, теперь вы находитесь в области действия PCI.

Чтобы использовать Authorize.Net и не выходить за рамки PCI, используйте методы интеграции SIM или их новую Direct PostМетод .Оба держат ваш сервер вне зоны действия.

Подробнее об этом: Auth.net

Answer 3

Вся инициатива по соблюдению PCI является полным беспорядком и станет неисполнимой, потому что нет реальных окончательных ответов.Те немногие, которые существуют, являются мутными и неоднозначными.

В руководстве четко сказано, что если вы храните или передаете конфиденциальные данные о платежах, то вы находитесь в поле зрения.Вы можете выйти из области применения, используя сервис токенизации платежей для хранения и прямую проводку в платежный шлюз для передачи.Обе эти техники не позволят вам выйти за рамки.

Прямая публикация для меня не имеет смысла.Я не вижу, как шаг обратной отправки сервера квалифицируется как передача, а прямая публикация на платежном шлюзе - нет.Вы отправляете конфиденциальные данные в обоих случаях.Если конфиденциальные данные получены через защищенную обратную передачу и сразу же отбрасываются после отправки их на шлюз, то в чем разница?

Вы умрете от смеха, когда узнаете, что веб-браузер не обязательно должен быть PCI-совместимым.Он может даже хранить платежные данные локально и передавать их по незащищенному каналу!Вы можете утверждать, что вероятность кражи меньше, потому что это не публичный сервер, и им управляет пользователь кредитной карты.Независимо от этого, крошечное количество времени, в течение которого данные платежа находятся на сервере, подлежащем обработке во время обратной передачи, должно учитывать то же самое.

Кроме того, браузеры могут работать в любом месте, в том числе на общественных киосках и телефонах.

Answer 4

что касается первой части вашего вопроса .. нет, это не требует соответствия PCI.Одним из основных преимуществ использования Authorize.net является снятие с них соответствия PCI.При этом использование Authorize.net, разумеется, не снимает с вас ответственности по PCI.