接受使用 PayPal 的直接信用卡付款,而不会出现 PCI 合规性问题?
Accept direct credit card payments with PayPal, without incurring PCI compliance issues?
Stripe,使用其 stripe.js 库,将使用 javascript 完全在客户端交换支付表单中的客户信用卡信息以换取令牌。我们的服务器永远不会看到信用卡,只会看到令牌。因此,我们可以避免服务器上的 PCI 合规性问题,并且仍然可以直接进行信用卡交易。
PayPal 是否提供任何类似的产品,让我可以直接从客户卡中扣款,而不会在我的服务器上产生 PCI 合规性要求?
注意:我看到 PayPal 提供 vault API 来用信用卡号换取令牌。但是,这个 API 本身需要一个 OAuth 承载令牌,该令牌必须作为服务器机密保存,不能与浏览器客户端共享。因此,CC# 必须传送到我们的服务器以发出 vault API 调用,因此会在这些服务器上产生 PCI 合规性要求。我想知道,是否可以生成一个仅具有将新信用卡写入保险库的权限的 OAuth 令牌?然后我可以将这个有限范围的不记名令牌提供给 javascript 客户端库,并从客户端调用它,有效地复制 stripe.js 所做的事情。
(问题背景:由于客户需求,我们需要接受 PayPal,但也想直接接受信用卡。我要么需要使用 Stripe 并为两个单独的集成编写两次我的支付处理代码,要么我需要通过 PayPal 找到一个不涉及 PCI 合规性的解决方案,因为这是我绝对想避免的一个令人头疼的问题。)
上述过程称为客户端标记化。 PayPal 确实支持令牌,但不支持信用卡数据,因此如果没有 PCI,您将无法在自己的页面上获取信用卡信息。 PayPal 是少数不支持它的主要信用卡处理商之一,这似乎有点奇怪。
Stripe,使用其 stripe.js 库,将使用 javascript 完全在客户端交换支付表单中的客户信用卡信息以换取令牌。我们的服务器永远不会看到信用卡,只会看到令牌。因此,我们可以避免服务器上的 PCI 合规性问题,并且仍然可以直接进行信用卡交易。
PayPal 是否提供任何类似的产品,让我可以直接从客户卡中扣款,而不会在我的服务器上产生 PCI 合规性要求?
注意:我看到 PayPal 提供 vault API 来用信用卡号换取令牌。但是,这个 API 本身需要一个 OAuth 承载令牌,该令牌必须作为服务器机密保存,不能与浏览器客户端共享。因此,CC# 必须传送到我们的服务器以发出 vault API 调用,因此会在这些服务器上产生 PCI 合规性要求。我想知道,是否可以生成一个仅具有将新信用卡写入保险库的权限的 OAuth 令牌?然后我可以将这个有限范围的不记名令牌提供给 javascript 客户端库,并从客户端调用它,有效地复制 stripe.js 所做的事情。
(问题背景:由于客户需求,我们需要接受 PayPal,但也想直接接受信用卡。我要么需要使用 Stripe 并为两个单独的集成编写两次我的支付处理代码,要么我需要通过 PayPal 找到一个不涉及 PCI 合规性的解决方案,因为这是我绝对想避免的一个令人头疼的问题。)
上述过程称为客户端标记化。 PayPal 确实支持令牌,但不支持信用卡数据,因此如果没有 PCI,您将无法在自己的页面上获取信用卡信息。 PayPal 是少数不支持它的主要信用卡处理商之一,这似乎有点奇怪。