我有一个JS前端通过REST API与后端通信,我需要处理信用卡。我不想进入完整的PCI DSS合规性内容,因为我使用提供标记化的第三方提供商(Stripe,Braintree ..),所以我不需要这样做。
但我遇到的问题是我不希望JS前端处理CC细节的标记化,但我希望前端将CC数据发送到后端,然后后端将使用支付网关API用于标记CC数据并存储它而不是真实的CC数据。
由于CC数据进入后端被认为是CC数据(不是存储)的处理,这意味着我必须以某种方式处理PCI合规性。
所以我想知道是否有一些简单的方法可以避免为了符合要求而进行一些过于复杂的代码/基础架构更改?
如果您不想要获得SAQ C / D资格,那么您无法将客户的PAN发送到您的服务器期间。它必须首先进入您的支付网关,然后您可以获取他们给您的任何有效负载并将其发送到您的服务器。
由于我更熟悉他们的服务,我可以描述Braintree处理这两种方式:
1)Drop-in UI - 使用此方法,您将在付款页面上创建一个div,并在您的前端代码中添加一个小的javascript,将节点转换为付款表单。一旦他们填写了付款表格,该信息将直接发送给Braintree,他们将向您返还一个付款现金,您可以安全地发送到您的服务器,而无需任何PCI问题。
2)Hosted Fields - 为Drop-in UI设置样式的选项有点受限,因此如果您需要能够添加自定义字段,您可以根据需要完全控制样式并放置在页面上,那么您正在寻找托管领域。它基本上会在您的页面上创建一系列iframe,您可以像常规HTML输入一样设置样式,然后当您的客户填写它们并点击“提交”时,数据会再次提交给Braintree,然后您将获得付款时间你可以发送到你的后端API并做任何你想做的事情。
只是为了确保我已经清楚了 - 目前没有办法将明文信用卡信息发送到您的服务器,而无需满足更严格的PCI SAQ级别。