我已经尝试在使用 PayPal payments pro 时筛选所有关于 PCI 合规性的在线讨论,但没有明确的答案。除了拥有 SSL 之外,由于我不存储持卡人信息(我只是传输它),我还需要做什么才能符合 pci 标准?我已经实现了直接付款、快速结帐和定期计费。
最佳答案
PCI 合规性是通过 PCI 审计确定的。只有通过初始审核和任何定期审核的服务才能宣传自己符合 PCI。
任何服务都可以遵守 PCI 准则 - 并且应该 - 但遵守和合规是两件不同的事情。
问题的更直接的答案:
PayPal 存储和管理所有客户支付信息,因此他们承担了遵守 PCI 准则所带来的大部分负担。在您的情况下,您至少应该:
- 确保您的服务器上没有存储任何财务数据(即使是 session cookie 中也没有)。
- 收集客户数据并以安全的方式将其传输到 PayPal。这通常意味着对传输到您的服务器的所有客户财务数据以及将这些数据重新传输到 PayPal 的 API 时使用 SSL。
- 使您的软件/基础架构保持最新状态,以防止零日攻击和其他漏洞。
关于php - Paypal 支付专业版和 pci 合规性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12343047/