我有许多客户要求在线获取客户的信用卡号码,然后在终端的POS处处理付款的请求.我想知道这样做的最佳方法是什么.
我不想以明文形式在服务器上存储信用卡号,我不想以纯文本形式发送带有该号码的电子邮件.
客户不希望注册在线支付账户,因为在线支付处理器的成本较高且额外.此外,两个客户都无法在线收费,因为由于缺货产品或客户要求的问题,总数可能会发生变化.
我还有其他选择吗?
我将使用PHP.如果规则对我应该使用哪种方法有任何影响,我也在加拿大.
我试过自己打电话给PayPal,手机上的代表甚至不知道Payflow Link可以这样工作,所以我不相信他的建议.我所有的搜索都遇到了不同的答案.
我正在使用Payflow Link构建电子商务网站,其中CC处理在Paypal托管页面上处理.但是,我考虑实现高级集成方法,客户在我的服务器托管的表单上输入所有CC信息,但表单通过SSL直接POST到Paypal的服务器.使用此方法,我可以维护我的网站的品牌,除了所需的Paypal收据页面.
使用此方法的CC信息不应该触及我的服务器.它们是否需要符合PCI标准?从技术角度来看,我不明白为什么会这样,但从法律角度来看,我迷失在PCI-DSS文件的行话中.该网站每年大约进行1000笔交易.
我只是想知道如果您为经常性计费存储加密的信用卡号码,PCI认证级别是什么.
我计划每年少于20,000笔交易,但是,我不确定存储信用卡号码.
我已经阅读了一些文章,说明为了拥有符合PCI标准的云解决方案,您需要拥有私有云环境,并且无法使用谷歌应用引擎.是否有可能创建一个PCI兼容的网站,专门将信用卡信息和个人用户数据存储在谷歌应用程序引擎应用程序中.请列出为什么这可能无法实现的事实,非深奥的原因,或者应用引擎开发人员需要和可以完成的高级任务指令列表.
想知道是否有人可以阐明使用谷歌标签管理器是否符合 PCIDSS?
我知道其中有一些规定可以确保标签不能被注入,例如保护服务器、xss 保护等,但找不到任何关于支持动态 html 更改的标签管理器是否可以的信息。
我可以看到这两个论点...
PCI DSS 规则之一是:
“PCI DSS 适用于包含在或连接到持卡人数据环境的所有系统组件”
您将如何处理 SCM/发布自动化服务器?必须从开发网段中的某个服务器打开一个端口,使其成为生产网络设置中某个服务器的方式。
开发人员生成代码,然后由构建经理生成发布工件。发布工件必须进入生产环境。发布工件如何从开发到生产——它们如何从“不在范围内”的开发箱到“在范围内”的生产箱?
我们希望使用银行业务API进行SEPA从我们的银行帐户到用户银行帐户的转帐。为此,用户需要在表格中输入其IBAN和BIC。我们获取这些数据(受SSL保护),然后使用银行REST API进行汇款。如果我们收到“成功”响应,则会向用户显示一条消息,表明资金已转入他的帐户。
在整个过程中,我们不会将IBAN或BIC存储在本地变量中的任何位置,也不会存储在数据库中。与fidor API的连接是安全的。
因此,存在以下问题:1. SEPA数据通常是否需要PCI合规性?2.如果是,我们是否需要符合上述用例的PCI?因为我们从不存储任何数据。
我试图在Google上找到关于此的信息,但没有成功。如果您有相同的用例,请与您分享经验,我将非常感谢。另外,如果您有关于此主题的链接,我也将不胜感激。
提前致谢!
我正在开发一个旨在存储会员详细信息以及信用卡详细信息的解决方案.我正尽力遵守PCI DSS.到目前为止,这是我的设计:
PAN =主要帐号==信用卡上的长号
要获得PAN,客户端必须使用BOTH服务器进行身份验证,向服务器A询问相应的密钥A,然后将密钥A提供给服务器B,服务器B将PAN返回给客户端(提供的身份验证成功).服务器A只会使用服务器B的公钥对密钥A进行加密,因为它会事先得到它.服务器B可能必须首先发送一个盐,但我不认为必须加密
我还没有考虑过有关上述的任何实现(即编码)细节,但是解决方案是使用Java的Cajo框架(RMI包装器),这就是服务器之间的通信方式(目前,会员资格被转移)通过这种方式).
我希望服务器B进行解密而不是客户端的原因是我害怕解密密钥进入客户端的RAM,即使它在服务器上可能同样糟糕......
任何人都可以看到上述设计有什么问题吗?如果必须改变上述内容并不重要.
谢谢
jtnire
在尝试禁用 TLS 1.0 时,有些 KitKat 设备需要访问我的 API。我尝试覆盖默认套接字工厂但没有成功。我曾尝试转换为 okhttp。还是行不通。如何让 Android KitKat 连接到我的 API?
我们正在开发一个项目,其性质在某种程度上是乘车共享,我读到了有关 PCI 合规性的内容,我知道如果我们处理信用卡或付款,我们必须符合 PCI 合规性,我有点模棱两可,我们是否存储司机的银行信息(例如帐号) (加密),数据库中的帐户名称等,我已阅读过
谁必须符合 PCI 要求? “如果您接受客户的信用卡,那么您必须符合 PCI 合规性”参考
因此,如果我们只存储银行帐号而不存储信用卡,我们就必须遵守 PCI 规定。
pci-dss ×10
e-commerce ×2
encryption ×2
android ×1
banking ×1
credit-card ×1
iban ×1
java ×1
paypal ×1
php ×1
tls1.2 ×1