我有一个JS前端,通过REST API与后端通信,我需要处理信用卡。我不想进入完整的PCI DSS合规性内容,因为我正在使用提供标记化的第三方提供商(Stripe,Braintree ..),所以我不需要这样做。
但我遇到的问题是我不希望JS前端处理CC细节的标记化,但我希望前端将CC数据发送到后端,后端将然后使用支付网关API来标记CC数据并存储它而不是真实的CC数据。
由于CC数据进入后端被认为是处理CC数据(而不是存储),这意味着我必须以某种方式处理PCI合规性。
所以我想知道是否有一些简单的方法可以避免做一些过于复杂的代码/基础设施更改以便符合要求?
答案 0 :(得分:2)
如果您不想要获得SAQ C / D资格,那么您无法将客户的PAN发送到您的服务器。它必须先进入您的支付网关首先,然后您可以将他们提供给您的任何有效负载发送到您的服务器。
由于我更熟悉他们的服务,我可以描述Braintree处理这两种方式:
1)Drop-in UI - 使用此方法,您可以在付款页面上创建一个div,并在您的前端代码中添加一些javascript,将该节点转换为付款方式。一旦他们填写了付款表格,这些信息将直接发送给Braintree,他们将向您返还付款现金,您可以安全地将其发送到您的服务器,而不会出现任何PCI问题。
2)Hosted Fields - 为Drop-in UI设置样式的选项有点受限,因此如果您需要添加自定义字段,您可以完全控制样式并根据需要放置在页面上,那么你正在寻找托管领域。它基本上会在您的页面上创建一系列iframe,您可以像常规HTML输入一样设置样式,然后当您的客户填写它们并点击“提交”时,"数据再次首先提交给Braintree,您将获得一个支付随机数,您可以将其发送到您的后端API并执行您喜欢的任何操作。
只是为了确保我已经清楚了 - 目前无法向您的服务器发送明文信用卡信息,而无需满足更严格的PCI SAQ级别。