Я рассматриваю возможность использования eWay в качестве платежного шлюза. Они предлагают два варианта. Один из них - позволить пользователям вводить данные кредитной карты на веб-сайте, размещенном на eWay, другой - использовать мою собственную форму и отправлять данные кредитной карты через мой сервер в бэкэнд eWays. Второй вариант (их страница с подробностями) кажутся мне более подходящими, так как пользователь никогда не покинет мой сайт, и бренд будет сохраняться. Я поговорил со службой поддержки, и они сказали, что мой сайт будет соответствовать стандарту PCI, если я использую SSL. Таким образом, я могу позволить пользователям указывать номера CC на моем сайте и отправлять их на серверную часть eWays через XML. Пока я не храню конфиденциальные данные, а только передаю, это нормально. До сих пор я думал, что пока данные CC попадают на мой сервер, мой сайт должен быть совместимым с PCI, но теперь я не уверен. Если бы кто-нибудь мог объяснить мне, как это на самом деле, я был бы очень признателен.
с использованием платежного шлюза и соответствия требованиям PCI
Ответы (4)
Если ваша система обрабатывает данные карты, то она относится к PCI и должна быть совместима с PCI.
В: Кому применяется PCI?
A: PCI применяется ко ВСЕМ организациям или торговцам, независимо от размера или количества транзакций, которые принимает strong>, передает или хранит данные держателей карт. Другими словами, если какой-либо клиент этой организации когда-либо платит продавцу напрямую с помощью кредитной или дебетовой карты, то применяются требования PCI DSS.
http://www.pcicomplianceguide.org/pcifaqs.php
Редактировать; «eWays» в качестве вашего поставщика шлюзов относятся к Уровню 1, и он обязан им гарантировать соответствие вашей PCI, так что с их стороны не так-то просто подсовывать вам подсказку SSL.
Похоже, вы получили много противоречивых ответов. Я работаю в платежной компании и прошел аудит поставщика услуг уровня 1, и я ежедневно имею дело с продавцами и их требованиями PCI, поэтому я думаю, что могу помочь вам прояснить это.
Реальность такова, что вы должны соответствовать требованиям PCI, если принимаете кредитные карты, даже если вы передаете ВСЕ функции обработки данных о держателях карт на аутсорсинг. Хитрость в том, что стандарт, которому вы должны соответствовать, гораздо менее строг, чем стандарт, которому должен соответствовать платежный шлюз, но это не означает, что «PCI не применяется». Вам не обязательно иметь дело с действительно жесткими требованиями к сетевой безопасности, но есть аспекты PCI DSS, которым вы должны соответствовать, и вы должны ежегодно проводить аудит самооценки. `
Для получения подробной информации о том, с какой частью DSS вы должны иметь дело, перейдите на https://www.pcisecuritystandards.org/saq/instructions_dss.shtml и щелкните ссылку для типа проверки SAQ 1 (анкета A). Это подскажет вам, какие части стандарта PCI DSS вы должны реализовать как продавец, передав все функции держателя карт на аутсорсинг.
Надеюсь, это поможет вам прояснить ситуацию!
Короче говоря, если вы принимаете платежи (даже если полностью передаете их на аутсорсинг), вы должны соответствовать требованиям PCI. Важнейшим фактором при определении того, сколько элементов управления безопасностью вам необходимо соблюдать, является тип используемого вами платежного шлюза.
Я помогал писать информационный документ для сообщества Drupal, но концепции применимы повсеместно. Я очень рекомендую это прочитать. А если у вас есть отзывы, сообщите о проблеме в очереди на github.
Недавно мы реализовали транзакции по кредитным картам для сайта электронной торговли с использованием другого поставщика платежных шлюзов. Вот что мы узнали о соответствии PCI DSS.
- Если вашим бизнес-требованиям является хранение информации о клиентах вместе с информацией об их кредитных картах, тогда ваш сервер и сеть вокруг него должны быть совместимы с PCI.
- Однако, если хранение информации о клиенте с данными кредитной карты не является критическим требованием, вы можете использовать ssl от поставщика платежного шлюза. Они должны предоставить средства для настройки формы, чтобы вы могли оформить ее так, чтобы она отражала вашу компанию.
Подробные требования PCI DSS можно найти по этой ссылке Стандарты безопасности данных PCI