这种服务的行为类似于支付网关,但实际上并不授权或向卡收费,并且在 PCI 合规性方面会让我们的生活更轻松。
我们的客户希望我们保留卡信息,但不采取行动。大约一个月后,如果客户不坚持到底,他们会使用卡详细信息通过将信息输入您的标准零售卡机来对卡进行收费。现在,为了让我们的客户符合 PCI,存储信用卡信息的我们需要以符合 PCI 的方式进行。据我所知,我们的选择是:
无论是:
2.1:新服务是贝宝或类似的,他们将不得不授权并延迟获取资金(每月对他们来说是一笔巨大的额外费用)
2.2:新服务只是如上所述的远程数据存储(每月向他们收取少量额外费用)
欢迎任何见解,谢谢。
我相信管理这些零售卡机器的协议对如何存储数据非常具体。我很确定如果您的客户按照您的描述进行操作,他们将违反他们对该机器使用的协议。
如果您实际上并没有自己处理交易,我不知道您需要成为 PCI 投诉。这是一个自愿的行业标准,而不是法律。当然,如果你不遵守它,如果你想和支付卡行业做生意,你是不允许参与客户详细信息的长期存储的……
索取客户终端协议的副本。我确信它对客户信息的电子存储做了非常具体的说明。
这真是个坏主意。所涉及的责任是巨大的(当你有小规模的违规行为时,通常是数百万美元)。PCI 合规性将花费您至少 50,000 美元,甚至可能更多,特别是如果您之前还没有一个构建过合规系统的团队。
您需要找到为您的客户提供远程数据存储的现有处理器。我过去合作过的提供商包括MyBillingTree.com和Profitstars。后者是规模更大,更专业的装备,但他们仍在转售别人的api。任何主要的企业支付解决方案参与者都应该具备这种能力。不要使用 PayPal,它们通常价格过高且灵活性有限。除非您的交易量低得离谱,否则这些公司中的任何一家都会向您报价具有竞争力的价格,可能比您的客户已经拥有的刷卡终端要好得多。
您不一定要进行授权和延迟捕获。使用 Profitstars API,您可以运行预授权,取回代表客户信息集的存储令牌,并且(如果您有适当的客户授权),在以后使用它来运行任意金额的交易。
快进到 2014 年。Spreedly 是一项为您存储卡和处理 pci 合规性的服务。您将获得一个令牌,您可以稍后使用它来引用该卡。他们不直接处理付款,您使用他们的 api 来处理针对各种 3rd 方网关的付款。