Paypal 支付 pro 和 pci 合规性
在使用 PayPal 付款专业版时,我已尝试在网上筛选所有有关 PCI 合规性的讨论,但没有明确的答案.除了拥有 SSL 之外,由于我没有存储持卡人信息(我只是传输它),我需要做什么才能符合 pci 标准?我已经实施了直接付款、快速结账和定期结算.
I've tried sifting through all the discussions online about PCI compliance when using PayPal payments pro, but there's no clear answer. Other than having SSL, since I'm not storing cardholder information (I'm only transmitting it), what do I need to do to be pci compliant? I've implemented direct payment, express checkout, and recurring billing.
推荐答案
PCI 合规性取决于是否通过 PCI 审核.只有通过初始审核和任何定期审核的服务才能将自己宣传为符合 PCI 标准.
PCI compliance is determined by passing a PCI audit. A service can advertise itself as PCI compliant only if it's passed the initial audit and any periodic audits.
任何服务都可以遵守 PCI 指南——并且应该——但遵守和合规是两件事.
Any service can adhere to the PCI guidelines - and should - but adherence and compliance are two different things.
对问题的更直接回答:
PayPal 存储和管理所有客户付款信息,因此他们承担了遵守 PCI 准则所带来的大部分负担.就您而言,您至少应该:
PayPal stores and manages all customer payment information so they shoulder the majority of the burden that comes with adhering to the PCI guidelines. In your case, at a minimum you should:
- 确保没有财务数据存储在您的服务器上(甚至不在会话 cookie 中).
- 收集客户数据并以安全的方式将其传输到 PayPal.这通常意味着对传输到您的服务器的所有客户财务数据以及在将这些数据重新传输到 PayPal 的 API 时使用 SSL.
- 让您的软件/基础设施保持最新状态,以防止零日攻击和其他漏洞.
相关文章