Stripe使用其stripe.js库,将使用javascript在付款表单中交换客户信用卡信息,完全在客户端上。我们的服务器永远不会看到信用卡,只看到令牌。因此,我们可以避免在我们的服务器上出现PCI合规性问题,并且仍然可以直接进行信用卡交易。
PayPal是否提供同样允许我直接向客户卡收费的产品,而不会在我的服务器上产生PCI合规要求?
注意:我发现PayPal提供vault API来兑换代币的信用卡号。但是,此API本身需要OAuth承载令牌,该令牌必须保留为服务器机密,不能与浏览器客户端共享。因此,CC#必须前往我们的服务器才能发出Vault API调用,因此会对这些服务器产生PCI合规性要求。我想知道,是否可能生成一个只有权将新信用卡写入保险库的OAuth令牌?然后我可以将这个有限范围的承载令牌提供给javascript客户端库,并从客户端调用它,有效地复制stripe.js所做的事情。
(问题的背景:我们需要接受PayPal,因为客户需求,但也想直接接受信用卡。我要么需要使用Stripe并将我的支付处理代码写两次以进行两次单独的集成,或者我需要通过PayPal找到一个不涉及PCI合规性的解决方案,因为这是我绝对想避免的头痛。)
答案 0 :(得分:1)
上述过程称为客户端标记化。 PayPal支持令牌,但不支持信用卡数据,因此您无法在没有PCI的情况下在自己的页面上捕获信用卡信息。似乎有点奇怪,PayPal是少数不支持它的主要信用卡处理器之一。