PayPalペイメントプロを使用する際のPCIコンプライアンスに関するオンラインでのすべての議論をふるいにかけてみましたが、明確な答えはありません。SSLを使用する以外に、カード会員情報を保存していない(送信しているだけです)ので、pciに準拠するにはどうすればよいですか?直接支払い、エクスプレスチェックアウト、定期請求を実装しました。
2 に答える
PCIコンプライアンスは、PCI監査に合格することによって決定されます。サービスは、初期監査と定期的な監査に合格した場合にのみ、PCI準拠として自身をアドバタイズできます。
どのサービスもPCIガイドラインに準拠できますが、準拠する必要がありますが、準拠とコンプライアンスは2つの異なるものです。
質問に対するより直接的な答え:
PayPalは、すべての顧客の支払い情報を保存および管理するため、PCIガイドラインの順守に伴う負担の大部分を負担します。あなたの場合、少なくとも次のことを行う必要があります。
- サーバーに財務データが保存されていないことを確認してください(セッションCookieにも保存されていません)。
- 顧客データを収集し、安全な方法でPayPalに送信します。これは通常、サーバーに送信されるすべての顧客の財務データにSSLを使用し、このデータをPayPalのAPIに再送信することを意味します。
- ゼロデイエクスプロイトやその他の脆弱性から保護するために、ソフトウェア/インフラストラクチャを最新の状態に保ちます。
Paypal Payments Proを実行できるさまざまなモードがあります。ホストページ、透過リダイレクト、またはエクスプレスチェックアウト機能を使用している場合は、PayPalが課すPCIコンプライアンス要件を簡単に通過できるはずです。
直接支払いオプション(サイトにクレジットカード番号自体がある場合)を使用している場合は、私が強くお勧めする広範なプロセスを実行する必要があります。クレジットカード番号を直接収集する場合は、PayPalの代わりにBraintreeを使用することを検討してください。これは、APIが非常に使いやすく、ドキュメントがわかりやすく、PCIコンプライアンス作業の多くを実行してくれるためです。
PCIコンプライアンスコンサルティング会社を使用する必要がある場合は、http://www.panopticsecurity.com/paypal/が妥当な料金であり、質問にかなり敏感です。