我正在从表单的使用中捕获信用卡详细信息,然后将这些表单数据发送到支付网关,如PayPal或Braintree。
信用卡捕获表单托管在SSL (HTTPS)中,并使用cURL将信用卡数据发布到支付网关。由于我们没有将信用卡数据保存到我们的服务器,所以如果我们遵循这种情况,我们需要PCI投诉。
你不应该那样做!处理信用卡信息的表单应该始终指向支付网关作为目标,这样您的服务器就不会处理任何敏感数据。一个好的支付网关会将信用卡号码的缩略版本与验证状态结合起来发送给你,以存储在你的数据库中,并可能在电子邮件或用户管理区域中显示用户。您还可以使用javascript从表单中获取缩短的信用卡号码(并且只有号码!),并在将表单发送到网关之前通过ajax将其发送到服务器。
如果您正在处理和传输信用卡信息,那么您必须符合PCI标准。时期。
我同意张贴的其他两个答案…
由于您可以访问敏感数据,无论您决定是否存储数据,都可以充当中间人…你可以……你需要顺从。
如果你把它们传递到另一个不是你的形式,如Paypal/等,你从来没有真正收到任何客户信用数据…这是正确的方法。
PCI DSS合规性的智能方法
- http://www.braintreepayments.com/services/pci-compliance
通过使用我们的透明重定向(TR)和保险库,商家可以在几天内实现PCI合规。TR和保险库将取消信用卡数据的处理、处理或存储,这样您就有资格参加自我评估问卷A,这是四个saq中最短的一个。
可能您仍在处理敏感数据。如果有人入侵你的服务器,他们可以很容易地拦截你的通信并获得这些数据,也就是说,它仍然需要适当的保护。
您可能会在PCI网站上找到正确答案
简短的回答是肯定的。PCI合规性有几个级别,所有这些级别都取决于您的年销售额。
大多数商家每年进行的交易少于2万笔,这为您提供了一些自我评估的自由,以确认您符合法规。这篇文章,虽然是针对Magento的,但确实是一个很好的总结。
这里的关键要点是,您应该将其作为核心业务工作流的一部分。
答案是不,如果您不存储信用卡详细信息并使用安全网关,您不必符合PCI标准。但是,你需要https,你已经有了。