SagePay 的直接集成或 Cyber​​Source 的 SOAP API 方法！！我应该被 PCI 投诉吗？

Posted 2023-02-22

【中文标题】SagePay 的直接集成或 Cyber​​Source 的 SOAP API 方法！！我应该被 PCI 投诉吗？

【英文标题】：SagePay's Direct Integration Or CyberSource's SOAP API Method!! Should I be PCI complaint?

【发布时间】：2012-10-28 23:06:58

【问题描述】：

我目前正在将支付网关集成到我们的商家页面。我们预计每月在我们的网站上进行大约 100000 到 50 万次交易。我们的付款页面上有 SSL 证书。 SagePay 和 Cyber​​Source 的最大支付页面自定义等效项都是 Direct 和 SOAP API，这让我可以在我的服务器上托管支付页面来收集支付信息。

我唯一担心的是，我先将这些支付信息发布到我的服务器，然后再将其发送到相应的支付网关。我没有将它存储在会话或数据库中。我们所有的帖子 URL 都经过 SSL 认证。

根据 PCI 合规性，如果我从我的服务器传输支付数据，我应该每年进行 PCI 审核，并且安全评估员将进行远程测试和内部测试。

显然，这会很昂贵。

如果我遵循 SagePay Direct 集成或 Cyber​​Source SOAP API 文档，是否需要 PCI 合规性？

很抱歉成为害虫。我知道这个问题存在于整个社区。但是对于我的特定集成方法，我看不到令人信服的答案。

如果能收到专业支付安全顾问的解答，那就太棒了。

亲切的问候，

【参考方案1】：

也许您想查看 Cyber​​Source 的 Secure Acceptance Silent Order Post：

http://www.cybersource.com/developers/develop/integration_methods/secure_acceptance/

【参考方案2】：

无论您使用的是 Sagepay 还是 Cyber​​source，都没有关系 - 如果信用卡号完全触及您的服务器，那么您就符合 PCI-DSS 合规性。如果您不将它们存储在数据库或会话中，则无关紧要。如果您的服务器在毫秒内看到信用卡号和/或 CVV 代码，则您符合 PCI-DSS。您的集成方法根本不重要，重要的是您的服务器正在处理信用卡号。

【讨论】：

很抱歉打扰您。我应该怎么做才能遵守 PCI-DSS？它是证书、审计还是只是 SSL？我们尚未决定继续遵守 PCI DSS，但不确定该怎么做？