我已经尝试过拨打PayPal自己,手机上的代表甚至都不知道Payflow Link可以这样工作,所以我不相信他的建议。我所有的搜索都遇到了混合的答案。Payflow链接需要PCI合规吗?
我正在使用Payflow Link构建电子商务网站,在Paypal托管页面上处理CC处理。不过,我正在考虑实施先进的集成方法,即客户在由我的服务器托管的表单上输入所有CC信息,但表单通过SSL直接发送到PayPal的服务器。使用这种方法,我可以维持我的网站的品牌,除了所需的贝宝收件人页面。
使用此方法的CC信息不应该碰到我的服务器。他们是否需要符合PCI标准?从技术角度看,我不明白为什么它应该这样做,但从法律角度来说,我迷失在PCI-DSS文件的术语中。该网站每年大约进行1000次交易。
我在探索同一个问题。从与我们的PCI合规供应商谈话,听起来像MikeH是不正确的。因为我们在我们的网站上托管表格,服务器本身需要符合PCI标准。这是因为如果服务器不安全,表单可能会被黑掉。
我看到两个选项:
保持我们的网站形式。确保服务器安全(我们的虚拟主机当前不通过PCI扫描,他们正在处理它)。填写更长和详细的SAQ验证类型5(问卷D)。
使用Payflow Link的信用卡捕获表单。不需要担心服务器,可以使用更短的SAQ验证类型1(问卷A)。但是,由于Payflow Link页面看起来不同,我们会失去品牌并可能会失去销售。
的SAQ d是难看 :-(
如果您通过您的网站接受信用卡付款,则必须符合PCI标准。您需要走多远取决于您的实施情况。如果您托管用户用于付款的表单,则需要使用SSL证书,以便页面被加密(即使只是为了确保锁定图标出现在用户的浏览器中),如果没有它,您将不会每年再进行1000次交易)。
使用您提出的模型,您确实必须符合PCI标准,但限制级别要比数据接触服务器的限制要低得多。
有关详细信息,转到https://www.pcisecuritystandards.org/saq/instructions_dss.shtml,然后单击SAQ验证类型1(问卷A)的链接。这将告诉您PCI DSS的哪些部分必须作为具有所有持卡人功能外包的商家实施。
希望这会有所帮助!