Authorize.net (AIM) API 是否需要 PCI 合规性或任何其他认证？

Question

我想知道这里是否有人使用过authorize.net“高级集成方法” API。

我已经浏览了他们网站上的常见问题解答，但此时我似乎无法找到直接的答案或联系到他们。

我知道 API 需要 SSL（显然），但如果您不存储信用卡号，他们的 TOS 协议是否需要 PCI 合规性或任何类型的认证？另外，如果有人碰巧知道，他们的服务条款中是否有任何内容反对将其用于存储商家凭证的应用程序（当然需要明确的商家许可）？

为了澄清，在最后一部分，我谈论的是一个 SaS 应用程序，它存储多个商家（同一服务器）的商家 ID 和交易密钥。

Answer 1

是的，它需要 PCI 合规性。 AIM 要求您在自己的 Web 服务器上收集用户数据，然后再将其发送到 Authorize.Net 进行处理。这意味着您正在处理和传输信用卡信息，因此必须符合 PCI 标准。

这不是 Authorize.Net 要求，而是支付卡行业要求。只要商家不违反 Authorize.Net 的服务条款，Authorize.Net 不对商家处理付款的方式承担责任。因此，如果您不符合 PCI 标准，Authorize.Net 并不关心。但如果发卡机构的网站不符合 PCI 标准且不使用 AIM API，发卡机构就会向商家提出问题。

Answer 2

如果您使用 AIM，则属于 PCI 范围。许多开发人员一厢情愿地认为，如果他们只是使用 AIM api 将卡数据传输到 Authorize.net，那么他们就不在范围内。

根据当前的 PCI 规则，所有这些开发人员都错了。由于卡信息正在传输您的服务器，因此坏人可能会闯入您的服务器并窃取卡信息。不管可能性有多大，您现在都在 PCI 的范围内。

要使用 Authorize.Net 并远离 PCI 范围，请使用集成方法 SIM 或其新的直接发布方法< /a>.两者都会使您的服务器超出范围。

更多信息来自 Auth.net

Answer 3

整个 PCI 合规计划一团糟，并且将变得无法执行，因为没有真正明确的答案。现存的少数内容是模糊且模棱两可的。

该指南明确指出，如果您存储或传输敏感的支付数据，那么您就在范围内。您可以通过使用支付标记化服务进行存储并直接发布到支付网关进行传输来超出范围。这两种技术都会让你脱离范围。

直接发帖对我来说没有任何意义。我不明白服务器回发步骤如何符合传输资格，但直接发布到支付网关则不然。在这两种情况下您都会发送敏感数据。如果敏感数据是通过安全回发接收的，并且在发送到网关后立即丢弃，那么有什么区别呢？

当您发现 Web 浏览器不必符合 PCI 要求时，您会笑死的。它甚至可以在本地存储支付数据并通过不安全的通道传输！您可能会说盗窃的可能性较小，因为它不是公共服务器并且由信用卡用户操作。无论如何，在回发期间支付数据驻留在服务器上进行处理的极短时间应该具有相同的考虑因素。

此外，浏览器可以在任何地方运行，包括公共信息亭和电话。

Answer 4

至于你问题的第一部分..不，它不需要 PCI 合规性。使用 Authorize.net 的主要优点之一是将 PCI 合规性交给他们。话虽如此，使用 Authorize.net 当然不会自动免除您的任何 PCI 责任。