【问题标题】:Paypal API with no PCI Compliance没有 PCI 合规性的 Paypal API
【发布时间】:2014-05-21 09:09:56
【问题描述】:

从各种讨论中可以清楚地看出,如果我在我的网站上接受信用卡并调用 Paypal API 将 CC 传递给 Paypal,我也必须符合 PCI。

在我们的解决方案中,用户使用我们网页上的表单来提交信用卡信息。然后,我们获取这些信用卡信息,将它们发送到 Paypal,并从 paypal 接收我们可以存储在数据库中的 ID。在以后的交易中,用户无需再次输入信用卡信息。我们只需将该 ID 发送到 paypal 以代替信用卡信息。

为了避免 PCI 的噩梦,我们希望依靠 Paypal 的工具/widgest 以我们简单地接收相应 ID 的方式收集这些信用卡信息。问题是,Paypal 有这样的小部件吗?我有哪些选择?

【问题讨论】:

    标签: paypal pci-dss


    【解决方案1】:

    您是否考虑过使用 PayPal Advanced?此帐户类型将允许您“在 iFrame 内”捕获您网站上的信用卡,并且 PayPal 将处理所有 PCI 合规性。 PayPal Advanced 帐户每月只需 5.00 美元,而 Pro 帐户每月只需 30.00 美元,而且无需担心 PCI 合规性。

    关于使用交易 ID 进行未来购买,此功能称为参考交易,也可以添加到您的帐户中。

    【讨论】:

    • 我一定错过了什么。我不希望用户使用 Paypal 小部件进行购买。用户只能使用 Paypla 小部件添加信用卡。你能给我一个链接吗?
    【解决方案2】:

    你也可以试试Braintree。截至 2013 年 12 月,他们是 PayPal 的子公司。

    【讨论】:

      【解决方案3】:

      Paypal 有几种不同的 API 可供您使用。它们在此处列出:

      https://devtools-paypal.com/tryit

      我认为他们的自适应付款选项可能适合您:

      https://devtools-paypal.com/guide/ap_simple_payment?interactive=ON&env=sandbox

      在此模型中,您将让客户完成您的购买流程,选择产品、数量等。您确定价格,然后按照 PayPal 自适应付款 API(特别是“简单付款”功能)发送付款详细信息到 PayPal,包括您计算的价格。然后用户被重定向到 PayPal 网站,他们可以在其中输入他们的信用卡信息或 PayPal 帐户详细信息并接受费用。然后将它们连同付款详细信息一起重定向回您,然后您继续。

      【讨论】:

        【解决方案4】:

        您的网站仍需要通过 SAQ A 或 SAQ A EP 进行 PCI 合规,具体取决于应用程序如何将数据发送到 Paypal。

        根据 PCI 委员会:

        SAQ A:交付给消费者浏览器的支付页面的所有元素仅直接来自经 PCI DSS 验证的第三方服务提供商

        SAQ A-EP:交付给消费者浏览器的支付页面的每个元素都来自商家的网站或符合 PCI DSS 的服务提供商

        总体而言,要确保执行重定向的站点是安全的。该站点有可能被修改,以便将 iFrame、直接 POST 或其他方式发送到恶意站点。

        【讨论】:

        • PayFlow 导致持卡人数据进入服务器,因此即使未存储也属于 SAQ-D。
        猜你喜欢
        • 2013-10-02
        • 2012-09-02
        • 2014-10-18
        • 2015-05-26
        • 2017-05-26
        • 1970-01-01
        • 2011-05-12
        • 2015-10-19
        • 2020-08-12
        相关资源
        最近更新 更多