spi*_*tus 6 payment-gateway pci-dss
我正在考虑使用eWay作为支付网关.他们提供两种选择.一种是允许用户在eWay托管网站上输入信用卡数据,另一种是使用我自己的表格并通过我的服务器将信用卡数据发送到eWays后端.第二个选项(他们的页面包含详细信息)似乎更适合我,因为用户永远不会离开我的网站,并维持品牌.现在,我采访了支持,他们说只要我使用SSL,我的网站就会符合PCI标准.所以基本上我可以允许用户在我的网站上提供CC号码并通过XML将其发送到eWays后端.只要我不存储敏感数据,但只转移就可以了.到目前为止,我认为只要CC数据到达我的服务器我的网站需要PCI兼容,但现在我不确定.如果有人可以向我解释它是如何真的是非常值得赞赏的.
如果您的系统处理卡数据,那么它在PCI范围内,并且必须符合PCI标准.
问:PCI适用于谁?
答: PCI适用于接受, 传输或存储任何持卡人数据的所有组织或商家,无论其规模或交易数量如何.换句话说,如果该组织的任何客户使用信用卡或借记卡直接向商家付款,则PCI DSS要求适用
http://www.pcicomplianceguide.org/pcifaqs.php
编辑; "eWays"作为您的网关提供商是第1层,并且它支持他们实际上确保您的PCI兼容,所以它有点狡猾,他们用SSL spiel掌控你.
看起来你收到了很多相互矛盾的答案.我在一家支付公司工作并接受过一级服务提供商审核,我每天都会处理商家及其PCI要求,所以我想我可以帮你解决这个问题.
实际情况是,如果您接受信用卡,即使您外包所有持卡人数据功能,您也必须符合PCI标准.诀窍在于,您必须满足的标准远远低于支付网关必须满足的标准 - 但这并不意味着"PCI不适用".您不必处理非常严格的网络安全要求,但您必须遵守PCI DSS的某些方面,并且您需要每年进行一次自我评估审核.`
有关您必须处理的DSS的哪些部分的详细信息,请转到https://www.pcisecuritystandards.org/saq/instructions_dss.shtml 并单击SAQ验证类型1(问卷A)的链接.这将告诉您作为商家必须实施的PCI DSS的哪些部分,所有持卡人功能外包.
希望这有助于为您解决问题!