我一直在阅读一些文章,其中描述了使用 Datavault 和标记化来减轻 PCI DSS 负担。
我的问题是,是否有任何公司提供安全存储信用卡信息等数据以换取令牌,并且他们是否提供通过验证自己并向他们提供令牌来查看数据的能力?
此设置符合 PCI DSS 要求吗?
您所指的公司通常称为支付服务提供商(或 PSP),例如 SagePay、PayPal、Authorize.net 等。
这些公司通常不仅仅充当数据存储,它们还允许卡支付的授权和结算。 您只在您这边存储一个token id,并根据需要使用该token id来请求授权/结算/退款等。 从 PCI 合规提供商那里获取卡详细信息是不可能的,因为这会损害他们的 PCI 合规性。
单独使用 PSP 不会神奇地使您符合 PCI 标准,但它会使其变得更加容易,因为它消除了与存储卡详细信息相关的所有负担。 不过,您仍然需要遵守 PCI 的一些领域,主要涉及将卡详细信息传输到 PSP。
PayPal 出了什么事?它们在全球范围内得到认可,利用它们为您带来优势。他们有 SDK 允许与 Paypal 处理服务器交互......
@KSS:好的,很公平,但是您将减轻自己在安全方面的负担,这将被额外费用的成本所抵消,一方面是额外费用,另一方面是管理信用存储的安全问题卡处理......这就是 Paypal 所做的,当然费用可能会很昂贵,但从长远来看,这会为您节省安全头痛和悲伤的成本(可能会花费数千美元,获得认证,安全证书,正常运行时间,服务器费用等)
自从这篇文章发布以来,已经提供了第三方标记化服务。请查看 https://spreedly.com/。我目前正在市场上寻求类似的解决方案。
Spreedly 等第三方服务可以为您提供帮助。但关键是你看不到原始卡数据。一旦您这样做(查看),您就处于完全 PCI 合规范围,并且消除了您在使用第三方服务进行令牌化时所考虑的大部分价值主张。 Spreedly 确实有一个 PMD 产品,它可以让您将原始 CC 数据传递到您指定的第三方 API,以便解决问题。