Paypal Vault - 合规性
Posted
技术标签:
【中文标题】Paypal Vault - 合规性【英文标题】:Paypal Vault - compliance 【发布时间】:2017-01-15 15:14:49 【问题描述】:要使用 Paypal 存储的信用卡付款,该应用是否需要通过任何 PCI 或 QSS 合规性认证流程?
注意:我正在使用 Paypal 保险库来存储带有 paypal 的信用卡信息。
【问题讨论】:
【参考方案1】:如果您使用的是 PayPal Vault,那么您就可以开始使用了。只需确保您没有在数据库、日志文件或其他任何地方保存任何信用卡详细信息。
如果您遵循这些程序并且出于任何原因您必须申请某种 PCI 合规性(通常不是这种情况),那么您将能够通过他们的低价方法快速轻松地通过。
不过,您根本不必担心这一点,除非您可能正在使用硬件做某事,或者您正在与需要它的特定公司打交道。
【讨论】:
好的,谢谢。但是我们面临的问题是,在尝试使用存储的信用卡付款时,从贝宝收到 UNAUTHORIZED_Payment 错误(HTTP 401)。使用沙箱,它运行良好。可能是什么问题?请就此发表您的见解。 我们需要注册 Paypal Payments Pro 吗?还是应该通过 QSA 认证? Payments Pro 不使用“保险库”。 Payments Pro 将其称为参考交易,这本质上是相同的,但它的工作方式略有不同。基本上,它只是您将使用的不同 API。 “Vault”与 REST API 一起使用,不需要 Pro。【参考方案2】:如果您通过 HTTPS 将详细信息传递到 PayPal Vault (REST API),则信用卡号在请求中。尽管这是 SSL(实际上是 TLS)安全,但由于最终用户在将信用卡详细信息传递给 PayPal 之前直接在您的网站上输入信用卡详细信息,因此您需要通过 PCI 合规性、SAQ C 甚至SAQ D 我相信。
https://www.pcisecuritystandards.org/documents/Understanding_SAQs_PCI_DSS_v3.pdf
您是否考虑过为此使用 Braintree 集成?
Braintree 有一个完全符合 PCI 的客户端部分(以及一个非常好的保管库解决方案。)他们也是一家 PayPal 公司,如果需要,您也可以保管 PayPal 帐户。
他们有一个快速的“插入式”用户界面解决方案: https://www.braintreepayments.com/en-ie/products-and-features/drop-in-ui
或者如果您需要更多定制的东西,他们有一个名为“托管字段”的产品
两者都完全符合 PCI 以符合 SAQ A,因此如果您想避免通过更困难的 PCI 合规性审核,这可能是您的最佳解决方案。
【讨论】:
我不认为,如果我们使用 Vault,我们需要符合 PCI 标准,这是 paypal 的 Vault 功能背后的主要原因。 我不同意(阅读上面的数据安全标准 PDF)此外,如果您想对 PayPal REST 堆栈(包括保险库)上的信用卡进行任何操作,您将需要 PayPal Pro。 developer.paypal.com/docs/integration/direct/… 您可能还需要 PayPal 批准“参考交易”。玩得开心!以上是关于Paypal Vault - 合规性的主要内容,如果未能解决你的问题,请参考以下文章