我们将使用一些具有安全链接的支付服务,支付表单数据将在其中发布(例如https://some-payment-gateway/securelink/sslpmt)我们的表单将包含支付到的所有必填字段完成: 1. 客户信息 2. 账单信息 3. 信用卡信息 我们的表格是否也应该托管在安全站点上?据我们了解,即使我们的网站不安全,例如: http://our-site/orderform.html 如果它包含:
<form method="post" action="https://some-payment-gateway/securelink/sslpmt"> ... </form>
表单字段将通过安全连接传输,不会泄露任何数据。我们是真的还是假的?
怕是假的。
如果您托管一个接受卡详细信息的页面,那么该页面、其运行所在的机器以及该机器所连接的网络必须符合 PCI 标准。(如果有人破坏了 orderform.html 并将收集的详细信息重定向到其他地方怎么办)
如果您看起来很有可能您的some-payment-gateway Inc提供将用户重定向到他们自己托管的页面以收集卡详细信息的能力 - 这几乎总是明智的选择,因为它消除了大部分合规义务你。
Re Braintree API 我用谷歌搜索了他们并看到:
“我们的透明重定向 API 完全消除了您环境中信用卡数据的处理和处理……透明重定向不是托管页面解决方案;它对最终用户完全透明”
这似乎有点自相矛盾,似乎他们确实希望您在您的网站上收集卡片详细信息 - 所以您需要遵守,他们在此处确认。
很高兴他们有一个“下载预先填写的 SAQ A 2.0 版并验证它是否与业务实践一致。 ”链接和一个 QSA 建议,您可以利用它 - 但我要指出的是,在SAQ 文件具有法律约束力,就像任何合同一样;如果您的系统遭到破坏并且存在欺诈行为,您可能会付出惨重的代价。