我有一个这样的购物车流程:
- 第 1 页。选择产品
- 第 2 页。在单页结账时输入地址、送货、信用卡详细信息。
- 第 3 页。用户确认订单 - 但我们想要最后一次追加销售的机会,因此我们必须能够更改收取的金额。如果用户放弃此页面,则不应向他们收费或授权任何东西,但我们必须能够打电话给他们并说服他们订购,而无需再次询问他们的电话号码。
第 4 页。收据页面
重复计费是以后的要求,具有可变的金额和时间表。(用户必须能够返回并更改他们的日程安排,而无需再次输入 CC 号码)。
这是我不想做的事情:
- 将用户发送到第三方页面(因为我想要单页结帐并保留品牌)
- 最小化 PCI 合规性要求
- 如果用户未确认,则授权付款并取消付款。这是在多个层面上自找麻烦!
由于我需要一个确认页面,我认为我需要使用某种标记化系统,例如由Braintreepayments提供的。您基本上将信用卡号存储在他们的服务上,然后他们会给您一个代表该号码的令牌。然后,您可以随时对该卡收取任何金额的费用。这当然似乎是最灵活的解决方案。
我有点绕圈子试图弄清楚这是否是最好的解决方案:
- 我不知道 BrainTree 是否是唯一一家提供此类服务的公司,但我也不相信它真的有必要。
- 如果我在会话中临时存储 CC 直到用户确认它,我仍然可以使用几乎任何支付网关。因此,问题变成了“我是否将 CC 临时存储在内存中是否重要”以及到什么程度。
“最纯粹”最安全的方法似乎是重定向到braintree(或提供类似网关的其他人)。
编辑(分配赏金后):
我得出的结论是,我绝对必须有一个系统,我们只需要满足PCI A 级。一直在更详细地研究 PCI,这些问卷是针对无卡商家(即电子商务)的相关问卷。
SAQ A : (当 CC 号码甚至没有触及我们的服务器时)。如果您在网上销售,您仍然需要填写这份问卷,但这很容易。
SAQ D:(即使我们不存储 CC 号码,也会触及我们的服务器)
看看这些问卷,就会发现需求之间存在巨大差异。PCI 要求经常被误认为是一个简单的列表,例如“维护防火墙”、“安全策略”、“限制物理访问”——但如果你真的阅读问卷 D,你会发现它有更多的问题和要求. 例如,您必须回答您的服务器是否受到摄像机的保护,以及您的服务器上的数据加密类型。
我真的很高兴知道那里有哪些实际产品或供应商可以帮助我做我想做的事情。如果真的只有 1 或 2 家公司让我这样做,那么我需要知道。
我与 Braintree 没有任何关系,只是我设法进入了他们的电子邮件营销列表。他们只是我找到的唯一一家这样做的公司。如果你经营另一家公司做同样的事情,那么一定要吹响你自己的号角。随着时间的推移,PCI 要求只会变得更加严格,任何读过我的问题的人都可能已经意识到这一点。