私は自分でPayPalに電話をかけてみましたが、電話の担当者はPayflow Linkがこのように機能することすら知らなかったので、彼のアドバイスを信用していません。私の検索はすべて、さまざまな答えに遭遇しました。
私はPayflowLinkを使用してeコマースサイトを構築しています。このサイトでは、CC処理がPaypalでホストされているページで処理されます。ただし、顧客が私のサーバーでホストされているフォームにすべてのCC情報を入力する高度な統合方法を実装することを検討していますが、フォームはSSLを介してPaypalのサーバーに直接POSTされます。この方法を使用すると、必要なPaypalレシートページを除いて、自分のサイトのブランドを維持できます。
この方法を使用するCC情報は、サーバーに決して触れないようにする必要があります。PCIに準拠する必要がありますか?技術的な観点からは、なぜそうすべきなのかわかりませんが、法的な観点からは、PCI-DSSドキュメントの専門用語に迷い込んでいます。このサイトは年間約1000件のトランザクションを実行します。
私は同じ問題を調査しています。PCIコンプライアンスベンダーと話をすると、MikeHが正しくないようです。Webサイトでフォームをホストしているため、サーバー自体がPCIに準拠している必要があります。これは、サーバーが安全でない場合、フォームがハッキングされる可能性があるためです。
2つのオプションがあります。
私たちのサイトにフォームを保管してください。サーバーを安全にします(私たちのウェブホストは現在PCIスキャンに合格していません、彼らはそれに取り組んでいます)。はるかに長く詳細なSAQ検証タイプ5(質問票D)に記入します。
PayflowLinkのクレジットカードキャプチャフォームを使用します。サーバーについて心配する必要はありません。そうすれば、はるかに短いSAQ検証タイプ1(アンケートA)を使用できます。ただし、Payflow Linkページの外観が非常に異なるため、ブランディングが失われ、売上が失われる可能性があります。
SAQDは醜いです:-(
提案しているモデルを使用する場合、実際にはPCIに準拠している必要がありますが、データがサーバーにアクセスした場合よりもはるかに制限の少ないレベルになります。
詳細については、https: //www.pcisecuritystandards.org/saq/instructions_dss.shtmlにアクセスし、SAQ検証タイプ1(アンケートA)のリンクをクリックしてください。これにより、すべてのカード所有者機能を外部委託した加盟店として、PCIDSSのどの部分を実装する必要があるかが正確にわかります。
お役に立てれば!
Webサイトを通じてクレジットカードによる支払いを受け入れる場合は、PCIに準拠している必要があります。どこまで進む必要があるかは、実装によって異なります。ユーザーが支払いに使用しているフォームをホストしている場合は、SSL証明書を使用して、ページが暗号化されるようにする必要があります(ユーザーのブラウザーに鍵のアイコンが表示されることを確認するためだけでも。それがないと、もう年間1000トランザクションを実行しています)。