我正在考虑使用 eWay 作为支付网关。他们提供两种选择。一种是允许用户在 eWay 托管网站上输入信用卡数据,另一种是使用我自己的表格并通过我的服务器将信用卡数据发送到 eWays 后端。第二个选项 (their page with details) 对我来说似乎更合适,因为用户永远不会离开我的网站并且品牌会得到维护。 现在,我与支持人员交谈,他们说只要我使用 SSL,我的网站就会符合 PCI 标准。所以基本上我可以允许用户在我的网站上提供 CC 号码并通过 XML 将其发送到 eWays 后端。只要我不存储敏感数据,只传输就可以了。到目前为止,我认为只要 CC 数据访问我的服务器,我的网站就需要符合 PCI 标准,但现在我不确定。如果有人可以向我解释它的真实情况,那将不胜感激。
【问题讨论】:
如果您的系统处理卡数据,那么它在 PCI 范围内并且必须符合 PCI。
问:PCI 适用于谁?
答: PCI 适用于所有组织或 商家,无论大小或 接受的交易数量, 传输或存储任何持卡人 数据。换一种说法,如果有的话 该组织的客户 使用支付宝直接向商家付款 信用卡或借记卡,然后 PCI DSS 要求适用
http://www.pcicomplianceguide.org/pcifaqs.php
编辑; “eWays”作为您的网关提供商是第 1 层,它对他们负有实际确保您的 PCI 合规性的义务,因此使用 SSL spiel 让他们有点狡猾。
【讨论】:
您似乎收到了很多相互矛盾的答案。我在一家支付公司工作,并接受了 1 级服务提供商审核,我每天都在处理商家及其 PCI 要求,所以我想我可以帮助您解决这个问题。
现实情况是,如果您接受信用卡,则必须符合 PCI 标准,即使您外包了所有持卡人数据功能。诀窍在于,您必须满足的标准远没有支付网关必须满足的标准那么严格——但这并不意味着“PCI 不适用”。您不必处理真正严格的网络安全要求,但您必须遵守 PCI DSS 的某些方面,并且您需要每年进行一次自我评估审计。 `
有关您必须处理的 DSS 的哪一部分的详细信息,请转至 pcisecuritystandards.org 并查看 SAQ 验证类型 1(问卷 A)。这将准确告诉您作为商家必须实施 PCI DSS 的哪些部分,并将所有持卡人功能外包。
希望这有助于为您解决问题!
【讨论】:
简而言之,如果您接受付款(即使您完全外包),您需要符合 PCI 标准。决定您需要满足多少安全控制的最大因素是您使用的支付网关的类型。
我帮助编写了white paper for the Drupal community,但这些概念适用于所有领域。我强烈推荐阅读它。如果您有任何反馈,请在 github 问题队列中提出问题。
【讨论】:
我们最近使用另一家支付网关提供商为电子商务网站实施了信用卡交易。这就是我们对 PCI DSS 合规性的了解。
详细的 PCI DSS 要求见此链接PCI Data Security Standards
【讨论】: