我试过自己打电话给 PayPal,电话里的代表甚至不知道 Payflow Link 可以这样工作,所以我不相信他的建议。我所有的搜索都遇到了不同的答案。
我正在使用 Payflow Link 构建一个电子商务网站,其中 CC 处理在 Paypal 托管页面上处理。但是,我正在考虑实施高级集成方法,即客户在我的服务器托管的表单上输入所有 CC 信息,但表单通过 SSL 直接发送到 Paypal 的服务器。使用这种方法,我可以维护我的网站的品牌,但所需的 Paypal 收据页面除外。
CC 信息,使用这种方法,不应该接触到我的服务器。他们是否需要符合 PCI 标准?从技术角度来看,我不明白为什么应该这样做,但从法律角度来看,我迷失在 PCI-DSS 文档的行话中。该网站每年进行大约 1000 笔交易。
【问题讨论】:
标签: e-commerce paypal payment-gateway pci-dss
我正在探索同样的问题。与我们的 PCI 合规性供应商交谈后,听起来 MikeH 是不正确的。因为我们在我们的网站上托管表单,所以服务器本身需要符合 PCI 标准。那是因为如果服务器不安全,表单可能会被黑客入侵。
我看到两个选项:
将表格保留在我们的网站上。确保服务器安全(我们的 Web 主机当前没有通过 PCI 扫描,他们正在处理它)。填写更长更详细的 SAQ 验证类型 5(问卷 D)。
使用 Payflow Link 的信用卡获取表单。无需担心服务器,然后可以使用更短的 SAQ Validation Type 1(问卷 A)。但是,由于 Payflow Link 页面看起来如此不同,我们会失去品牌并可能会失去销售。
SAQ D 丑 :-(
【讨论】:
使用您提出的模型,您确实必须符合 PCI 标准,但与数据接触您的服务器相比,您的限制要小得多。
有关详细信息,请转到https://www.pcisecuritystandards.org/saq/instructions_dss.shtml 并单击 SAQ 验证类型 1(问卷 A)的链接。这将准确告诉您作为商家必须实施 PCI DSS 的哪些部分,并将所有持卡人功能外包。
希望这会有所帮助!
【讨论】:
如果您通过您的网站接受信用卡付款,则您必须符合 PCI 规定。您需要走多远取决于您的实施。如果您托管用户用来付款的表单,您需要使用 SSL 证书,以便加密该页面(即使只是为了确保锁定图标出现在用户的浏览器中。没有它,您将不会每年进行 1000 次交易)。
【讨论】: