E commerce PCI合规性。将信用卡信息传递给第三方API

我有一个申请，要求信用卡信息做支付给第三方公司

我的应用程序捕获CC、CVV、过期日期等信息，然后将这些信息传递给向客户收费的API

我一直在阅读有关PCI合规性的文章，但根据下图，我不太确定我需要达到的合规性水平

---

最后，我想弄清楚，如果我从同一个客户那里购买了新产品，我的最佳选择是什么。既然我不向客户收费，但第三方收费，那么存储付款信息的最佳方式是什么，这样用户就不必在每次使用我的服务时都输入他的信息？从PCI合规性的角度来看，在我的服务器上存储支付信息会有什么影响？有没有一种方法可以让我不需要为用户存储支付信息，但我可以将他们的信息（如果他们是回头客）传递给第三方API，并且仍然符合PCI标准？

因为您正在构建一个web应用程序（甚至嵌入Facebook messenger），如果您正在构建一个收集卡数据的表单，你可以选择“购物车-付款页面直接邮寄”（A-EP）或“购物车-付款页面未外包”（D-Merchant）。如果可以的话，你真的很想接受A-EP治疗，但你可能无法做到

两者之间的区别在于卡数据是否通过您的服务器。使用“Direct Post”，网页本身将数据（通常通过HTTP Post）发送到支付API，而您无法捕获它。使用“不外包”，数据返回到服务器，然后服务器调用支付API并将其传递。在这种情况下，您将必须完成整个D-Merchant调查问卷（目前为止最长的，而不是D-Service Provider），并且可能设置了一个特殊的环境，以防止任何人在传输您的服务器时试图读取卡数据

实际上，信用卡数据中没有任何部分值得存储以尝试识别重复购买者，因为您没有实际完成支付的支付数据。相反，您应该查看您的支付提供商是否提供了任何类型的“”，这些类型可用于以后识别该支付数据。如果是这样，您可以将该令牌与客户关联（无论您如何识别客户），并在客户返回时重用该令牌

---

进一步阅读：

由于您正在构建一个web应用程序（甚至嵌入到Facebook messenger中），如果您正在构建一个收集卡数据的表单，那么您将属于“购物车-支付页面直贴”（即a-EP）或“购物车-支付页面未外包”（即D-Merchant）。如果可以的话，你真的很想接受A-EP治疗，但你可能无法做到

两者之间的区别在于卡数据是否通过您的服务器。使用“Direct Post”，网页本身将数据（通常通过HTTP Post）发送到支付API，而您无法捕获它。使用“不外包”，数据返回到服务器，然后服务器调用支付API并将其传递。在这种情况下，您将必须完成整个D-Merchant调查问卷（目前为止最长的，而不是D-Service Provider），并且可能设置了一个特殊的环境，以防止任何人在传输您的服务器时试图读取卡数据

实际上，信用卡数据中没有任何部分值得存储以尝试识别重复购买者，因为您没有实际完成支付的支付数据。相反，您应该查看您的支付提供商是否提供了任何类型的“”，这些类型可用于以后识别该支付数据。如果是这样，您可以将该令牌与客户关联（无论您如何识别客户），并在客户返回时重用该令牌

---

进一步阅读：

当你说“应用程序”时，你是指网站、内部业务应用程序还是电话应用程序？这很重要。它是嵌入在Facebook Messenger上的web应用程序。当你说“应用程序”时，你是指网站、内部业务应用程序还是电话应用程序？这很重要。这是一个嵌入Facebook Messenger的web应用程序。如果我使用第三种API（如stripe）来避免构建自己的表单，然后被归入（或a-EP）类别，那会更容易吗？我将与第三方API公司核实，他们是否可以在完成付款后向我提供某种代币，以便我可以在以后的付款中使用它，而无需每次询问用户付款信息。（为此，我需要将令牌映射到您指出的给定用户）谢谢！如果我使用第三种API（如stripe）来避免构建自己的表单，然后被归入（或A-EP）类别，会更容易吗？我将与第三方API公司核实，他们是否可以在完成付款后向我提供某种代币，以便我可以在以后的付款中使用它，而无需每次询问用户付款信息。（为此，我需要将令牌映射到您指出的给定用户）谢谢！