使用支付网关和 PCI 合规性

Question

我正在考虑使用 eWay 作为支付网关。他们提供两种选择。一种是允许用户在 eWay 托管网站上输入信用卡数据，另一种是使用我自己的表单并通过我的服务器将信用卡数据发送到 eWays 后端。第二个选项（其详细信息页面）似乎更适合我，因为用户永远不会离开我的网站并且品牌将得到维护。 现在，我与支持人员交谈，他们说只要我使用 SSL，我的网站就会符合 PCI 标准。所以基本上我可以允许用户在我的网站上提供 CC 号码并通过 XML 将其发送到 eWays 后端。只要我不存储敏感数据，只传输就可以了。到目前为止，我认为只要 CC 数据到达我的服务器，我的网站就需要符合 PCI 标准，但现在我不确定。如果有人能向我解释它到底是怎么回事，我将不胜感激。

Answer 1

看来您收到了很多相互矛盾的答案。我在一家支付公司工作，并接受了 1 级服务提供商审核，并且每天与商家及其 PCI 要求打交道，所以我想我可以帮助您解决这个问题。

现实情况是，如果您接受信用卡，则必须遵守 PCI 合规性，即使您外包所有持卡人数据功能。诀窍在于，您必须满足的标准远没有支付网关必须满足的标准那么严格，但这并不意味着“PCI 不适用”。您不必处理非常严格的网络安全要求，但您必须遵守 PCI DSS 的某些方面，并且您需要每年进行自我评估审核。
`

有关必须处理 DSS 哪一部分的详细信息，请访问 pcisecuritystandards.org 并请参阅 SAQ 验证类型 1（问卷 A）。这将准确告诉您作为所有持卡人功能均外包的商户必须实施 PCI DSS 的哪些部分。

希望这有助于您解决问题！

Answer 2

如果您的系统处理卡数据，那么它就在 PCI 范围内，并且必须符合 PCI 标准。

问：PCI 适用于谁？
答： PCI
适用于所有组织或
商家，无论规模大小
接受的交易数量，
传输或存储任何持卡人
数据。另一种说法，如果有的话
该组织曾经的客户
直接使用支付宝向商家付款
信用卡或借记卡，然后
PCI DSS 要求适用

http://www.pcicomplianceguide.org/pcifaqs.php

编辑； “eWays”作为您的网关提供商是第 1 级的，他们有责任确保您的 PCI 合规，因此他们用 SSL 欺骗您有点狡猾。

Answer 3

简而言之，如果您接受付款（即使您完全外包），您就需要遵守 PCI 规定。确定您需要满足多少安全控制的最大因素是您使用的支付网关的类型。

我帮助撰写了Drupal 社区白皮书，但这些概念适用于所有领域。我强烈推荐阅读它。如果您有任何反馈，请在 github 问题队列中提交问题。

Answer 4

我们最近使用另一家支付网关提供商为电子商务网站实施了信用卡交易。这就是我们对 PCI DSS 合规性的了解。

1. 如果您的业务要求是存储客户信息及其信用卡信息，那么您的服务器及其周围的网络应该符合 PCI 标准。
2. 但是，如果将客户信息与信用卡数据一起存储不是关键要求，那么您可以使用支付网关提供商的 ssl 。他们应该提供定制表格的方法，以便您可以将其品牌化以反映您的公司。

详细的 PCI DSS 要求可在此链接中找到PCI 数据安全标准