我一直在查看 authorize.net,尤其是他们的 CIM 和 DPM 解决方案。问题是我不能只在 DPM 中引用 CIM 配置文件。对于不使用 authorize.net 的人,基本上 authorize.net 管理我用户存储的信用卡(在他们的网站上),但我不能使用他们存储的信用卡的 ID 通过 DPM 进行付款,我必须从他们的服务器中检索该信息,并在另一个请求中将其传递回给他们。这一行为迫使我遵守 PCI(因为我已经处理了信用卡号)。
我的问题是:是否有其他提供商允许我使用类似于 authorize.net 但允许我的网站永远不会触及信用卡/运输信息的东西?
Infintech允许这样做,尽管从他们的网站上并不清楚。在您的网站上,您需要一种识别用户的方法,但您不需要存储信用卡信息、地址或类似的东西。
无论如何,您的商业银行都要求您符合 PCI 标准,但是如果您使用其他服务来处理将信用卡数据传输到您的网关,则可以降低要求。
如果信用卡数据涉及您的服务器,您可能需要填写自我评估问卷 C:https ://www.pcisecuritystandards.org/documents/pci_saq_c_v2.doc
如果您使用处理此传输的服务,您可能只需要自我评估问卷 A(但请务必检查您正在查看的任何服务):https://www.pcisecuritystandards.org/documents/pci_saq_a_v2。文档
免责声明:我为 Recurly 工作,这是您可以用来最小化 PCI 合规范围的服务之一。您可能还想看看 Chargify、ChedderGetter 或 SaaSy,但我很乐意回答您的任何问题。