在使用PayPal支付专业版时,我曾尝试筛选网上关于PCI合规性的所有讨论,但没有明确的答案。除了SSL之外,由于我不存储持卡人信息(我只传输它),我需要做什么才能兼容pci?我已经实现了直接付款、快速结账和定期计费。
PCI合规性是通过PCI审核来确定的。只有通过了初始审核和任何定期审核,服务才能将自己标榜为符合PCI。
任何服务都可以遵守PCI指南,而且应该遵守,但遵守和合规是两回事。
这个问题的一个更直接的答案:
PayPal存储和管理所有客户支付信息,因此他们承担了遵守PCI准则的大部分负担。在你的情况下,至少你应该:
- 确保没有财务数据存储在您的服务器上(甚至没有存储在会话cookie中)
- 收集客户数据并以安全的方式将其传输到PayPal。这通常意味着对传输到服务器的所有客户财务数据使用SSL,并在将这些数据重新传输到PayPal的API时使用SSL
- 让您的软件/基础设施保持最新,以防止零日漏洞和其他漏洞
您可以在多种模式下运行Paypal Payments Pro。如果您使用他们的托管页面、透明重定向或快速结账功能,您应该可以轻松通过Paypal强加给您的任何PCI合规要求。
如果你使用他们的直接支付选项(你的网站上有信用卡号码),你必须经过一个广泛的过程,我强烈建议你这样做。如果你直接收集信用卡#,你可以考虑使用Braintree而不是PayPal,因为他们的API更友好,文档也更简单,他们会为你做很多PCI合规工作。
如果您确实需要使用PCI Compliance咨询公司,http://www.panopticsecurity.com/paypal/有一个合理的费率,他们对问题的反应很好。