使用支付网关和 PCI 合规性

Posted

技术标签:

【中文标题】使用支付网关和 PCI 合规性【英文标题】:using payment gateway and PCI compliance 【发布时间】:2011-03-13 06:00:15 【问题描述】:

我正在考虑使用 eWay 作为支付网关。他们提供两种选择。一种是允许用户在 eWay 托管网站上输入信用卡数据,另一种是使用我自己的表格并通过我的服务器将信用卡数据发送到 eWays 后端。第二个选项 (their page with details) 对我来说似乎更合适,因为用户永远不会离开我的网站并且品牌会得到维护。 现在,我与支持人员交谈,他们说只要我使用 SSL,我的网站就会符合 PCI 标准。所以基本上我可以允许用户在我的网站上提供 CC 号码并通过 XML 将其发送到 eWays 后端。只要我不存储敏感数据,只传输就可以了。到目前为止,我认为只要 CC 数据访问我的服务器,我的网站就需要符合 PCI 标准,但现在我不确定。如果有人可以向我解释它的真实情况,那将不胜感激。

【问题讨论】:

【参考方案1】:

如果您的系统处理卡数据,那么它在 PCI 范围内并且必须符合 PCI。

问:PCI 适用于谁?答: PCI 适用于所有组织或 商家,无论大小或 接受的交易数量, 传输或存储任何持卡人 数据。换一种说法,如果有的话 该组织的客户 使用支付宝直接向商家付款 信用卡或借记卡,然后 PCI DSS 要求适用

http://www.pcicomplianceguide.org/pcifaqs.php

编辑; “eWays”作为您的网关提供商是第 1 层,它对他们负有实际确保您的 PCI 合规性的义务,因此使用 SSL spiel 让他们有点狡猾。

【讨论】:

如果我们只存储诸如银行“帐号”、“帐户名称”等的乐队详细信息,在这种情况下,PCI DSS 要求是否适用@Alex K。我在下面发布的问题***.com/questions/54665191/…【参考方案2】:

您似乎收到了很多相互矛盾的答案。我在一家支付公司工作,并接受了 1 级服务提供商审核,我每天都在处理商家及其 PCI 要求,所以我想我可以帮助您解决这个问题。

现实情况是,如果您接受信用卡,则必须符合 PCI 标准,即使您外包了所有持卡人数据功能。诀窍在于,您必须满足的标准远没有支付网关必须满足的标准那么严格——但这并不意味着“PCI 不适用”。您不必处理真正严格的网络安全要求,但您必须遵守 PCI DSS 的某些方面,并且您需要每年进行一次自我评估审计。 `

有关您必须处理的 DSS 的哪一部分的详细信息,请转至 pcisecuritystandards.org 并查看 SAQ 验证类型 1(问卷 A)。这将准确告诉您作为商家必须实施 PCI DSS 的哪些部分,并将所有持卡人功能外包。

希望这有助于为您解决问题!

【讨论】:

谢谢 Mike :) 只有当我保留带有持卡人数据的纸质报告或收据时,我才需要通过 SAQ 验证类型 1 (Qeust. A),这不是真的吗?如果我没有,也没有传输/存储任何此类数据,我就不需要以任何形式关注 PCI 合规性,对吗? 您仍然需要使用问卷 A 进行自我评估,但它的第一部分大部分会为您标记为 N/A。 “信息安全政策”下的部分仍然适用。即使您永远不必向任何人展示自我评估,我仍然建议您这样做并确保满足 IS 安全策略要求 - 这样您就不必担心您的处理器是否因为您满意而存在安全漏洞您的 PCI-DSS 要求,并且可以避免 Visa 可能评估的任何罚款。恕我直言,这只是一种“比抱歉更安全”的事情。 嗨,迈克,我们正在开展一个项目,我们正在使用 Braintree 支付网关及其 Drop-in UI 接受用户付款,我们不会在我们的数据库中存储信用卡号码。我们还必须符合 PCI 标准吗?还有一件事,如果我们只存储银行“帐号”、“账户名称”等银行详细信息,在这种情况下,PCI DSS 要求是否适用。 ***.com/questions/54665191/… 正确的链接现在是pcisecuritystandards.org/pci_security/…,但建议的编辑队列已满,所以我无法进行更改。【参考方案3】:

简而言之,如果您接受付款(即使您完全外包),您需要符合 PCI 标准。决定您需要满足多少安全控制的最大因素是您使用的支付网关的类型。

我帮助编写了white paper for the Drupal community,但这些概念适用于所有领域。我强烈推荐阅读它。如果您有任何反馈,请在 github 问题队列中提出问题。

【讨论】:

【参考方案4】:

我们最近使用另一家支付网关提供商为电子商务网站实施了信用卡交易。这就是我们对 PCI DSS 合规性的了解。

    如果您的业务需求是存储客户信息及其信用卡信息,那么您的服务器和围绕它的网络应符合 PCI 标准 但是,如果使用信用卡数据存储客户信息不是关键要求,那么您可以使用支付网关提供商的 ssl。他们应该提供自定义表单的方法,以便您可以将其品牌化以反映您的公司。

详细的 PCI DSS 要求见此链接PCI Data Security Standards

【讨论】:

现在这让我感到困惑.. 直到现在我还相当有信心,即使我不存储 CC 信息,但仅传输仍然必须使我的站点符合 PCI 标准。这与你所说的完全相反,那么真相是什么? :) 如果信用卡数据从未物理地访问您的服务器(包括由于表单发布而导致的 RAM),则 PCI-DSS 不适用。 PCI 数据标准涵盖您的网络安全、操作系统补丁等。因为他们希望确保敏感卡数据在网络传输(使用 SSL 覆盖)或存储(加密覆盖)期间免受任何滥用。在您的情况下,您需要确保卡数据在交易 (SSL) 后使用您的支付网关的默认 ssl 表单安全地传输到支付网关。 @inlokesh:PCI 在某种程度上适用于任何商家处理卡。如果您可以说“没有卡接触我们的系统,它是由支付网关 X 完成的”,那么通过就会容易得多。

以上是关于使用支付网关和 PCI 合规性的主要内容,如果未能解决你的问题,请参考以下文章

PayPal 定期付款 PCI 合规性

在支付网关之间迁移数据

帐户密码传输和 PCI DSS 合规性

存储客户付款详细信息 - PCI 合规性

Apple Wallet 和 Google Wallet PCI 合规性

Firebase 托管 PCI 合规性