1. Zuhause
  2. Frage und Antwort
  3. Ist PCI-Konformität mit Payflow Link erforderlich?

Ist PCI-Konformität mit Payflow Link erforderlich?

2010-07-26 19 views
5

Ich habe versucht, PayPal selbst anzurufen, und der Vertreter auf dem Telefon wusste nicht einmal, dass Payflow Link auf diese Weise funktionieren könnte, also traue ich seinem Rat nicht. All meine Suche hat gemischte Antworten gefunden.Ist PCI-Konformität mit Payflow Link erforderlich?

Ich baue eine E-Commerce-Site mit Payflow Link, wo die CC-Verarbeitung auf Paypal gehosteten Seiten behandelt wird. Ich erwäge jedoch, die erweiterte Integrationsmethode zu implementieren, bei der Kunden alle CC-Informationen in ein Formular eingeben, das von meinem Server gehostet wird. Das Formular wird jedoch direkt über SSL an die Paypal-Server gesendet. Mit dieser Methode kann ich das Branding meiner Website beibehalten, mit Ausnahme der erforderlichen Paypal-Empfangsseite.

Die CC-Informationen, die diese Methode verwenden, sollten niemals meine Server berühren. Müssen sie PCI-konform sein? Aus technischer Sicht kann ich nicht verstehen, warum das so sein sollte, aber aus juristischer Sicht verirre ich mich im Jargon der PCI-DSS-Dokumente. Die Website macht ungefähr 1000 Transaktionen pro Jahr.

Quelle

2010-07-26 Dave W.

Antwort

5

Ich erkunde das gleiche Problem. Von einem Gespräch mit unserem PCI-Compliance-Anbieter hört es sich an, als ob MikeH inkorrekt ist. Da wir das Formular auf unserer Website hosten, muss der Server selbst PCI-konform sein. Das liegt daran, dass das Formular gehackt werden könnte, wenn der Server nicht sicher ist.

Ich sehe zwei Möglichkeiten:

  1. Halten Sie das Formular auf unserer Seite. Sorgen Sie dafür, dass der Server sicher ist (unser Web-Host besteht derzeit nicht den PCI-Scan, sie arbeiten daran). Füllen Sie den viel längeren und ausführlicheren SAQ-Validierungstyp 5 (Fragebogen D) aus.

  2. Verwenden Sie das Kreditkartenabbuchungsformular von Payflow Link. Sie müssen sich nicht um den Server kümmern, können dann den viel kürzeren SAQ-Validierungstyp 1 (Fragebogen A) verwenden. Aber wir verlieren das Branding und können Verkäufe verlieren, weil die Payflow Link-Seiten so anders aussehen.

Die SAQ D ist hässlich :-(

Quelle

2010-08-03 21:48:26 user410168

0

Wenn Sie Kreditkartenzahlungen über Ihre Website akzeptieren, müssen Sie PCI-konform sein. Wie weit Sie gehen müssen, hängt von Ihrer Implementierung ab. Wenn Sie das Formular hosten, das die Benutzer für Zahlungen verwenden, müssen Sie ein SSL-Zertifikat verwenden, damit die Seite verschlüsselt wird (auch wenn nur sichergestellt werden soll, dass das Sperrsymbol im Browser des Benutzers angezeigt wird. Ohne das werden Sie nicht 1000 Transaktionen pro Jahr).

Quelle

2010-07-26 18:33:54

1

Mit dem Modell, das Sie vorschlagen, müssen Sie zwar PCI-konform sein, aber auf einem viel weniger restriktiven Niveau als wenn die Daten Ihren Server berühren würden.

Für Details, gehen Sie zu https://www.pcisecuritystandards.org/saq/instructions_dss.shtml und klicken Sie auf den Link für SAQ Validation Type 1 (Fragebogen A). Dadurch erfahren Sie genau, welche Teile des PCI DSS Sie als Händler mit allen ausgelagerten Karteninhaberfunktionen implementieren müssen.

Hoffe, das hilft!

Quelle

2010-07-28 19:20:14 MikeH

 Verwandte Themen

  • Keine verwandten Themen^_^