Нужно ли нам обращаться с жалобой PCI, если мы собираем данные кредитной карты в форме и публикуем ее на любом платежном шлюзе?

Question

Я получаю данные кредитной карты от пользователей в форме, а затем отправляю данные этой формы на платежные шлюзы, такие как PayPal или Braintree .

Форма захвата кредитной карты размещается в SSL (HTTPS) и использует cURL для отправки данных кредитной карты на платежные шлюзы. Поскольку мы не сохраняем данные кредитной карты на нашем сервере, нам также нужно быть жалобой PCI , если мы следуем этому сценарию.

Answer 1

Ты не должен этого делать! Форма, которая обрабатывает информацию о кредитной карте, всегда должна указывать на платежный шлюз в качестве цели, чтобы ваш сервер не обрабатывал конфиденциальные данные. Хороший платежный шлюз отправит вам обратно сокращенную версию номера кредитной карты в сочетании со статусом подтверждения для сохранения в вашей базе данных и, возможно, покажет пользователя в электронных письмах или административных областях пользователя. Вы также можете использовать JavaScript, чтобы получить сокращенный номер кредитной карты (и только номер!) Из формы и отправить его через ajax на свой сервер перед отправкой формы на шлюз.

Answer 2

Если вы обрабатываете и передаете информацию о кредитной карте, то вы должны соответствовать PCI.Период.

Answer 3

Я согласен с двумя другими ответами, которые опубликованы ...

Поскольку у вас есть доступ к конфиденциальным данным, выполняющим функции посредника, независимо от того, решите ли вы сохранить данныеили нет ... вы могли бы ... и вам нужно быть послушным.

Если вы передаете их в другую форму, отличную от вашей, например, Paypal / и т. Д., И вы на самом деле не получаете никаких кредитных данных клиента ... это правильный путь.

Интеллектуальный подход к PCI DSS Соответствиеможет достичь соответствия PCI в днях.TR и Vault исключат обработку, обработку или хранение данных кредитной карты, чтобы вы могли претендовать на Вопросник самооценки A, самый короткий из четырех SAQ.

Answer 4

Ответ НЕТ, вам НЕ обязательно быть PCI-совместимым, если вы не храните данные кредитной карты и не используете безопасный шлюз. Но вам действительно нужен https, который у вас уже есть.

Answer 5

Краткий ответ - да.Существует несколько уровней соответствия PCI, каждый из которых определяется вашим годовым объемом продаж.

Большинство продавцов совершают менее 20 000 транзакций в год, и это дает некоторую свободу самооценки, чтобы подтвердить, что вы соответствуете требованиям.правила. Эта статья , хотя и относится к Magento, является действительно хорошим обзором ландшафта.

Главное здесь - это то, что вы должны иметь это как часть вашего основного рабочего процесса.

Answer 6

Возможно, вы все еще обрабатываете конфиденциальные данные. Если кто-то взломает ваш сервер, он может легко перехватить ваше сообщение и получить эти данные, т. Е. Он все еще должен быть надежно защищен.

Вероятно, вы найдете правильный ответ на сайте PCI