【问题标题】:How to process credit cards without PCI DSS on backend如何在后端处理没有 PCI DSS 的信用卡
【发布时间】:2018-03-18 08:30:01
【问题描述】:

我有一个通过 REST API 与后端通信的 JS 前端,我需要处理信用卡。我不想了解完整的 PCI DSS 合规性内容,也不需要这样做,因为我使用的是提供标记化的 3rd 方提供商(Stripe、Braintree..)。

但我的问题是我不希望 JS 前端处理 CC 细节的标记化,但我希望前端将 CC 数据发送到后端,后端将然后使用支付网关 API 将 CC 数据标记化并存储,而不是真正的 CC 数据。

由于 CC 数据进入后端,因此被认为是对 CC 数据的处理(而不是存储),这意味着我必须以某种方式处理 PCI 合规性。

所以我想知道是否有一些简单的方法可以避免为了合规而进行一些过于复杂的代码/基础架构更改?

【问题讨论】:

  • 请不要通过删除问题和胡言乱语来破坏您的帖子。如果您不想与此问题相关联,您需要联系 Stack Overflow 团队并让他们知道。他们可以为您做到这一点。

标签: e-commerce stripe-payments braintree payment-processing pci-dss


【解决方案1】:

如果您不想获得 SAQ C/D 的资格,那么您不能将客户的 PAN 发送到您的服务器,期间。它必须首先进入您的支付网关,然后您才能获取他们提供给您的任何有效负载并将其发送到您的服务器。

由于我更熟悉他们的服务,我可以描述 Braintree 处理此问题的两种方式:

1) Drop-in UI - 使用此方法,您将在支付页面上创建一个 div,并在前端代码中添加一些 javascript,将节点转换为支付表单。一旦他们填写了付款表格,信息将直接发送到 Braintree,他们将返回一个付款随机数给您,您可以安全地将其发送到您的服务器,而无需担心任何 PCI。

2) Hosted Fields - 为 Drop-in UI 设置样式的选项有点受限,因此,如果您需要添加自定义字段,您可以根据需要完全控制样式和放置在页面上,然后您正在寻找托管字段。它基本上会在您的页面上创建一系列 iframe,您可以像常规 HTML 输入一样设置样式,然后当您的客户填写它们并单击“提交”时,数据会再次首先提交给 Braintree,然后您会收到付款随机数你可以发送到你的后端 API 并做任何你想做的事情。

只是为了确保我已经清楚了 - 目前没有办法将纯文本信用卡信息发送到您的服务器,而无需满足更严格的 PCI SAQ 级别。

【讨论】:

    猜你喜欢
    • 2017-05-26
    • 2011-01-21
    • 2011-03-27
    • 1970-01-01
    • 1970-01-01
    • 2013-06-08
    • 1970-01-01
    • 2017-02-07
    • 2010-12-28
    相关资源
    最近更新 更多