贝宝支付专业版和 PCI DSS 合规性
PayPal payments pro and PCI DSS compliance
下面的 link 已经回答了与我所问类似的问题。
Paypal payments pro and pci compliance
但是这个问题已经三年了。所以,如果有人能给我一个最新的答案,我将不胜感激。
在 PayPal 的网站上提到,要使用 PayPal Pro,您必须获得 PCI/DSS 认证,我正在尝试在我的一个电子商务网站上实施 PayPal Pro。我不会存储任何卡的详细信息,并将使用 SSL 证书安全地传输数据。
我是否需要做任何其他事情才能PCI/DSS 合规并保持我的 PayPal Pro 帐户处于活动状态?
是否有一个简单的解决方法来完成这项工作?例如 RackSpace 提供符合 PCI / DSS 标准的服务器。切换到它们将帮助我实现大部分基于网络的要求。
只要您使用的是可靠的 SSL,并且没有像您提到的那样将任何敏感数据保存到您自己的服务器上,就没有问题。
当您将信用卡详细信息保存到您自己的服务器时,事情会变得更加困难。
PCI DSS 合规性涵盖物理安全、网络安全、操作安全等诸多方面。
如果您使用的是 Rackspace,那么您的物理安全部分可能超出范围,但仍然是网络安全部分,如防火墙、IDS、HIDS、集中日志监控系统,然后是操作系统安全(Linux / Windows ) 仍然会出现。
拥有符合 PCI 标准的基础设施有很大帮助,但将网站托管到一个网站中并不会导致 PCI 合规性。
PS:PCI DSS 3 要求使用 TLS 1.2 而不是 SSL :)
有一个常见的误解,认为 PCI DSS 仅涵盖“存储、处理或传输持卡人数据”的实体。您需要认识到:
- 即使已加密,它仍然是持卡人数据并且仍受 PCI DSS 约束。 (参见 PCI DSS FAQ 1086)
- 任何可能影响上述持卡人数据流的实体都在 PCI DSS 的范围内,这意味着您。(请参阅相同的常见问题解答)
如果您阅读了常见问题解答的最后几段,则其中每一项都有一些例外情况。
也就是说,您需要回答的第一个问题会极大地影响您的合规要求水平以及您应该向谁报告,谁是交易记录的商家? PayPal 会收取付款并给您一笔 daily/weekly/monthly 结算押金减去费用,还是每笔付款直接转到您的商家帐户,您单独支付 PayPal 费用。
如果您是记录在案的商家,您将作为商家遵守合规性,如果 PayPal 是记录在案的商家,您实际上将成为他们的服务提供商。
当您是商家时,您的银行将根据您的商家级别决定您向他们提供何种合规证明(http://pcipolicyportal.com/what-is-pci/merchants/). You will most likely be able to self-assess. If you are using PayPal's embedded payment form then you would most likely qualify for an SAQ A, possibly an SAQ A-EP. If you use the API then you'll most likely be required to complete an SAQ D. All downloadable from the PCI SCC website。
当您是服务提供商时,您将受到记录商家的摆布,在本例中为 PayPal。他们可以规定他们认为适当的任何类型的合规性,因为他们对每笔交易的安全负责。从 PCI 的角度来看,您可以完成 SAQ D 服务提供商或合规性报告 (ROC) 和合规性证明 (AOC),每个都可以从 PCI SCC website.
下载
TLDR:只需使用 PayPal Pro 的嵌入式表格,完成 SAQ A 即可完成。如果 PayPal 是交易的记录商家,则由他们告诉您需要完成哪些合规步骤。如果您使用 API,祝您完成 SAQ D 愉快。
下面的 link 已经回答了与我所问类似的问题。
Paypal payments pro and pci compliance
但是这个问题已经三年了。所以,如果有人能给我一个最新的答案,我将不胜感激。
在 PayPal 的网站上提到,要使用 PayPal Pro,您必须获得 PCI/DSS 认证,我正在尝试在我的一个电子商务网站上实施 PayPal Pro。我不会存储任何卡的详细信息,并将使用 SSL 证书安全地传输数据。
我是否需要做任何其他事情才能PCI/DSS 合规并保持我的 PayPal Pro 帐户处于活动状态?
是否有一个简单的解决方法来完成这项工作?例如 RackSpace 提供符合 PCI / DSS 标准的服务器。切换到它们将帮助我实现大部分基于网络的要求。
只要您使用的是可靠的 SSL,并且没有像您提到的那样将任何敏感数据保存到您自己的服务器上,就没有问题。
当您将信用卡详细信息保存到您自己的服务器时,事情会变得更加困难。
PCI DSS 合规性涵盖物理安全、网络安全、操作安全等诸多方面。
如果您使用的是 Rackspace,那么您的物理安全部分可能超出范围,但仍然是网络安全部分,如防火墙、IDS、HIDS、集中日志监控系统,然后是操作系统安全(Linux / Windows ) 仍然会出现。
拥有符合 PCI 标准的基础设施有很大帮助,但将网站托管到一个网站中并不会导致 PCI 合规性。
PS:PCI DSS 3 要求使用 TLS 1.2 而不是 SSL :)
有一个常见的误解,认为 PCI DSS 仅涵盖“存储、处理或传输持卡人数据”的实体。您需要认识到:
- 即使已加密,它仍然是持卡人数据并且仍受 PCI DSS 约束。 (参见 PCI DSS FAQ 1086)
- 任何可能影响上述持卡人数据流的实体都在 PCI DSS 的范围内,这意味着您。(请参阅相同的常见问题解答)
如果您阅读了常见问题解答的最后几段,则其中每一项都有一些例外情况。
也就是说,您需要回答的第一个问题会极大地影响您的合规要求水平以及您应该向谁报告,谁是交易记录的商家? PayPal 会收取付款并给您一笔 daily/weekly/monthly 结算押金减去费用,还是每笔付款直接转到您的商家帐户,您单独支付 PayPal 费用。
如果您是记录在案的商家,您将作为商家遵守合规性,如果 PayPal 是记录在案的商家,您实际上将成为他们的服务提供商。
当您是商家时,您的银行将根据您的商家级别决定您向他们提供何种合规证明(http://pcipolicyportal.com/what-is-pci/merchants/). You will most likely be able to self-assess. If you are using PayPal's embedded payment form then you would most likely qualify for an SAQ A, possibly an SAQ A-EP. If you use the API then you'll most likely be required to complete an SAQ D. All downloadable from the PCI SCC website。
当您是服务提供商时,您将受到记录商家的摆布,在本例中为 PayPal。他们可以规定他们认为适当的任何类型的合规性,因为他们对每笔交易的安全负责。从 PCI 的角度来看,您可以完成 SAQ D 服务提供商或合规性报告 (ROC) 和合规性证明 (AOC),每个都可以从 PCI SCC website.
下载TLDR:只需使用 PayPal Pro 的嵌入式表格,完成 SAQ A 即可完成。如果 PayPal 是交易的记录商家,则由他们告诉您需要完成哪些合规步骤。如果您使用 API,祝您完成 SAQ D 愉快。