PCI 合规性/PayPal API

Question

所以在网上进行了大量研究之后，我来到了一个我知道有人可以帮助我的地方！

我们有一个网站将通过 PayPal 的经典 API 接受信用卡付款。更具体地说，我们将接受信用卡进行定期付款。我知道我必须符合 PCI 标准，今天与 PayPal 交谈后，我被告知（书面）：

“一旦您的帐户在过去 3 周内处理了超过 20 笔交易（或一年内处理了 100 笔），您就可以在 Trustwave 注册以符合 PCI 标准。”

而我

“在达到这些级别之前无需证明您的合规性”

不确定它是什么，但我觉得有些不对劲。主要是，我认为我应该从一开始就符合 PCI 标准。我认为他们的意思是在那之前我不需要证明任何东西，但我应该符合 PCI 标准。

如果有人能在这方面给我一些指导，那就太好了。以下是关于我们的情况的更多信息：

1. 我们不会在我们运行的任何系统上存储任何客户卡详细信息。
2. 我们通过常规的旧 HTML POST 表单将详细信息发送到 PayPal API。
3. 定期付款不允许使用 Paypal 托管的解决方案，因此我们需要通过自己的表单进行。

我确定我在这里遗漏了一些东西，但知道这里的某个人会有经验/能够为我指明正确的方向！

干杯！

Answer 1

您确实立即符合 PCI 要求，因为您环境中的网页会捕获持卡人数据，然后传输（关键术语）到 PayPal。 PCI/DSS 没有容量阈值，低于该阈值不适用。

也许感觉不对劲的是，他们很乐意通过提供注册“Trustwave”的选项来免除对您的 PCI 合规性的任何和所有责任，我猜他们会给您提供一个 SAQ 来填写然后处理您的季度扫描。