如果我们以表格形式获取信用卡详细信息并将其发布到任何支付网关，是否需要 PCI 投诉？

Question

我正在从表单中的使用中捕获信用卡详细信息，然后将这些表单数据发送到支付网关，例如 PayPal 或Braintree。

信用卡捕获表单托管在 SSL (HTTPS) 中，并使用 cURL 将信用卡数据发布到支付网关。由于我们不会将信用卡数据保存到我们的服务器上，因此如果我们正在关注这种情况。

Answer 1

你不应该这样做！
处理信用卡信息的表单应始终指向支付网关作为目标，以便您的服务器不会处理任何敏感数据。
好的支付网关会向您发送回信用卡号码的缩写版本以及验证状态，以存储在您的数据库中，并可能在电子邮件或用户管理区域中向用户显示。
您还可以使用 JavaScript 从表单中获取缩短的信用卡号码（并且仅是号码！），并通过 ajax 将其发送到您的服务器，然后再将表单发送到网关。

Answer 2

如果您要处理和传输信用卡信息，那么您必须遵守 PCI 规定。时期。

Answer 3

我同意发布的其他两个答案...

由于您可以访问敏感数据，充当中间人，无论您是否决定存储数据...您可以..并且您需要遵守规定。

如果您将它们传递到不属于您的另一种形式，例如 Paypal / 等，并且您实际上从未收到任何客户信用数据......这是正确的方式。

PCI DSS 合规性的智能方法

• http://www.braintree payments.com/services/pci-compliance< /a>

通过使用我们的透明重定向 (TR) 和 Vault，商家可以在几天内实现 PCI 合规性。 TR 和 Vault 将消除信用卡数据的处理、处理或存储，因此您有资格参加自我评估问卷 A，这是四个 SAQ 中最短的一份。

Answer 4

您可能仍在处理敏感数据。如果有人入侵您的服务器，他们可以轻松拦截您的通信并获取这些数据，即它仍然需要得到适当的保护。

您可能会在PCI 网站上找到正确的答案

Answer 5

简短的回答是肯定的。 PCI 合规性有多个级别，所有级别均由您的年销量决定。

大多数商户每年的交易量少于 2 万笔，因此可以自由地进行自我评估，以确认您是否遵守法规。 这篇文章虽然针对 Magento，但却是一个非常好的总结的风景。

这里的关键要点是您应该将其作为核心业务工作流程的一部分。

Answer 6

答案是否定的，如果您不存储信用卡详细信息并使用安全网关，则不必符合 PCI 标准。但是，您确实需要已有的 https。