在使用 PayPal 支付专业版时,我曾尝试筛选所有关于 PCI 合规性的在线讨论,但没有明确的答案。除了拥有 SSL 之外,由于我不存储持卡人信息(我只是传输它),我需要做什么才能符合 pci 标准?我已经实施了直接付款、快速结帐和定期计费。
问问题
3461 次
2 回答
7
PCI 合规性是通过 PCI 审核确定的。只有通过初始审核和任何定期审核,服务才能将自己宣传为符合 PCI 标准。
任何服务都可以遵守 PCI 准则——而且应该遵守——但遵守和合规是两件不同的事情。
更直接地回答这个问题:
PayPal 存储和管理所有客户支付信息,因此他们承担了遵守 PCI 准则所带来的大部分负担。在您的情况下,您至少应该:
- 确保您的服务器上没有存储任何财务数据(即使在会话 cookie 中也没有)。
- 收集客户数据并以安全的方式将其传输到 PayPal。这通常意味着对传输到您的服务器的所有客户财务数据使用 SSL,并且在将这些数据重新传输到 PayPal 的 API 时。
- 使您的软件/基础架构保持最新,以防止零日攻击和其他漏洞。
于 2012-09-09T21:34:57.433 回答
2
您可以在多种模式下运行 Paypal Payments Pro。如果您使用他们的托管页面或透明重定向或快速结帐功能,您应该可以轻松通过 PayPal 强加给您的任何 PCI 合规性要求。
如果您使用他们的直接付款选项(您的网站本身就有信用卡号),您将不得不经历一个我强烈推荐的广泛过程。如果您直接收集信用卡#s,您可能会考虑使用 Braintree 而不是 PayPal,因为他们的 API 更加友好并且文档简单明了,并且他们会为您完成大部分 PCI 合规性工作。
如果您确实需要使用 PCI 合规性咨询公司,http://www.panopticsecurity.com/paypal/的费率合理,而且他们对问题的反应非常好。
于 2012-09-26T23:28:04.560 回答