如果你真的(真的)需要存储卡号,那么你就会陷入最严格的PCI合规水平.这需要每年的现场审核,季度网络扫描,以及(正如您可能已经知道的)将非常昂贵.这与交易数量无关.(旧的PCI初稿根据处理的卡数量给出了不同的级别.不再是这种情况)
如果您可以使用第三方来存储/处理定期结算,那么您将降低到较低级别,这只需要您每年完成自我评估问卷(SAQ).如果您与他们讨论您的要求,大多数支付服务提供商将能够帮助重复计费.重复计费(如您所知)具有额外的复杂性,因为卡可以在周期中止/停止/替换
如果你有任何疑问,那么现在是开始与QSA(合格安全评估员)交谈的最佳时机.如果您通过电话讨论您的情况,他们将能够准确地告知您的位置.最终,除非您与第三方支付服务提供商合作,否则您将需要QSA来协助您的组织实现PCI合规性.