0

我目前正在将支付网关集成到我们的商家页面。我们预计每月在我们的网站上进行大约 100000 到 50 万次交易。我们的付款页面上有 SSL 证书。SagePay 和 Cyber​​Source 等价于最大支付页面定制是 Direct 和 SOAP API,这让我可以在我的服务器上托管支付页面来收集支付信息。

我唯一担心的是我将这些支付信息发布到我的服务器,然后再将其发送到相应的支付网关。我没有将它存储在会话或数据库中。我们所有的帖子 URL 都经过 SSL 认证。

根据 PCI 合规性,如果我从我的服务器传输支付数据,我应该每年进行 PCI 审计,安全评估员将进行远程测试和内部测试。

显然,这将是昂贵的。

如果我遵循 SagePay Direct 集成或 Cyber​​Source SOAP API 文档,是否需要 PCI 合规性?

很抱歉成为害虫。我知道这个问题存在于整个社区。但是对于我的特定集成方法,我看不到令人信服的答案。

从专业的支付安全顾问那里得到答案将是惊人的。

亲切的问候,

4

2 回答 2

1

也许您想查看 Cyber​​Source 的 Secure Acceptance Silent Order Post:

http://www.cybersource.com/developers/develop/integration_methods/secure_acceptance/

于 2012-11-09T16:44:08.997 回答
1

无论您使用的是 Sagepay 还是 Cyber​​source,都没有关系 - 如果信用卡号码完全触及您的服务器,则您符合 PCI-DSS 合规性。如果您不将它们存储在数据库或会话中,则无关紧要。如果您的服务器在毫秒内看到信用卡号和/或 CVV 代码,则您符合 PCI-DSS 合规性。您的集成方法根本不重要,重要的是您的服务器正在处理信用卡号码。

于 2012-11-08T20:44:41.117 回答