security - 第三方处理卡详细信息时的电子商务合规性

Question

当卡的详细信息由第三方（例如 Paypal）处理时，哪些形式的电子商务合规性（例如 PCI-DSS）适用？

我正在构建一个使用 Paypal Express 的定制购物车系统，因此卡的详细信息永远不会到达我的服务器。但是，我确实保留了客户详细信息，那么我必须或应该遵守哪些合规性（无论是在代码级别还是硬件级别）？

Answer 1

根据 PCI DSS，如果客户详细信息与 PAN（也称为信用卡号）一起存储，您只需加密客户详细信息。由于您没有存储或交易 PAN，因此您不需要做任何额外的事情。

参见 PCI DSS 第 5 页：

https://www.pcisecuritystandards.org/security_standards/pci_dss_download.html

Answer 2

如果信用卡数据从未实际到达您的服务器（包括由于表单发布而导致的 RAM），则 PCI-DSS 不适用。迄今为止，将您的信用卡处理外包给合规的第三方是让您自己合规的最简单方法。