PCI Compliance/PayPal API

Question

Итак, после многократного исследования онлайн, я прихожу в одно место, я знаю, что кто-то сможет мне помочь!

У нас есть сайт, который будет принимать платежи по кредитной карте через классический API PayPal. В частности, мы будем принимать кредитные карты за постоянные платежи. Я знаю, что я должен быть PCI совместимым, и после разговора с PayPal сегодня, я сказал (в письменной форме), что:

«После того, как ваш счет обработал более 20 сделок в течение последних 3-х недель (или 100 в в год), вы сможете зарегистрироваться в Trustwave, чтобы стать совместимым с PCI ».

И что я

«не нужно, чтобы доказать ваше соответствие до достижения этих уровней»

Не уверен, что это такое, но что-то не сидит прямо со мной. В основном, я думаю, что я должен быть совместим с PCI с самого начала. Я думаю, что они говорят, что мне не нужно ничего доказывать до тех пор, но я должен быть совместим с PCI.

Если бы кто-нибудь мог дать мне немного руководства по этому вопросу, было бы здорово. Вот несколько подробнее о нашей ситуации:

1. Мы не будем хранить ЛЮБОЙ номер карты клиента в любой системе, которую мы запускаем.
2. Мы отправляем детали в API PayPal с помощью обычной старой формы HTML POST.
3. Рецидивированные платежи не позволяют размещенному решению Paypal, поэтому мы должны сделать это через нашу собственную форму.

Уверен, что я что-то пропустил, но знаю, что у кого-то здесь будет опыт/быть в состоянии указать мне в правильном направлении!

Cheers guys!

Answer 1

Вы действительно попадаете под требования PCI немедленно, так как веб-страница в вашей среде захватывает данные держателя карты, а затем передает (ключевой термин) в PayPal. PCI/DSS не имеет порога объема, ниже которого он не применяется.

Возможно, что это не так, так это то, что они счастливы избавиться от любой ответственности за соблюдение PCI, представив возможность подписаться на «Trustwave», которого, как я думаю, предоставит вам SAQ для заполните, а затем позаботьтесь о своих ежеквартальных проверках.