7

我正在考虑使用 eWay 作为支付网关。他们提供两种选择。一种是允许用户在 eWay 托管网站上输入信用卡数据,另一种是使用我自己的表格并通过我的服务器将信用卡数据发送到 eWays 后端。第二个选项(他们的详细信息页面) 对我来说似乎更合适,因为用户永远不会离开我的网站并且品牌会得到维护。现在,我与支持人员交谈,他们说只要我使用 SSL,我的网站就会符合 PCI 标准。所以基本上我可以允许用户在我的网站上提供 CC 号码并通过 XML 将其发送到 eWays 后端。只要我不存储敏感数据,只传输就可以了。到目前为止,我认为只要 CC 数据访问我的服务器,我的网站就需要符合 PCI 标准,但现在我不确定。如果有人可以向我解释它的真实情况,那将不胜感激。

4

4 回答 4

9

如果您的系统处理卡数据,那么它在 PCI 范围内并且必须符合 PCI 标准。

问:PCI 适用于谁?
答: PCI 适用于所有接受传输或存储任何持卡人数据的组织或商户,无论其交易规模或交易数量如何。换句话说,如果该组织的任何客户曾经使用信用卡或借记卡直接向商家付款,则适用 PCI DSS 要求

http://www.pcicomplianceguide.org/pcifaqs.php

编辑; 作为您的网关提供商的“eWays”是第 1 层,它对他们负有实际责任,以确保您的 PCI 兼容,因此使用 SSL spiel 让他们有点狡猾。

于 2010-07-08T09:39:12.133 回答
9

您似乎收到了很多相互矛盾的答案。我在一家支付公司工作,并接受了 1 级服务提供商审核,我每天都在处理商家及其 PCI 要求,所以我想我可以帮助您解决这个问题。

现实情况是,即使您将所有持卡人数据功能外包,如果您接受信用卡,您也必须符合 PCI 标准。诀窍在于,您必须满足的标准远没有支付网关必须满足的标准那么严格——但这并不意味着“PCI 不适用”。您不必处理非常严格的网络安全要求,但您必须遵守 PCI DSS 的某些方面,并且您需要每年进行一次自我评估审计。`

有关您必须处理的 DSS 的哪一部分的详细信息,请访问pcisecuritystandards.org 并查看 SAQ 验证类型 1(问卷 A)。这将准确告诉您作为商家必须实施 PCI DSS 的哪些部分,所有持卡人功能都外包。

希望这有助于为您解决问题!

于 2010-07-29T14:39:11.457 回答
2

简而言之,如果您接受付款(即使您完全外包),您需要符合 PCI 标准。决定您需要满足多少安全控制的最大因素是您使用的支付网关的类型。

我帮助为 Drupal 社区撰写了一份白皮书,但这些概念适用于所有领域。我强烈推荐阅读它。如果您有任何反馈,请在 github 问题队列中提出问题。

于 2015-01-09T04:34:05.833 回答
1

我们最近使用另一个支付网关提供商为电子商务网站实施了信用卡交易。这就是我们对 PCI DSS 合规性的了解。

  1. 如果您的业务需求是将客户信息与他们的信用卡信息一起存储,那么您的服务器和围绕它的网络应该符合 PCI
  2. 但是,如果使用信用卡数据存储客户信息不是关键要求,那么您可以使用支付网关提供商的 ssl 形式。他们应该提供自定义表单的方法,以便您可以对其进行品牌化以反映您的公司。

详细的 PCI DSS 要求可在此链接中找到PCI 数据安全标准

于 2010-07-09T04:06:31.463 回答