不符合PCI标准的Paypal API

从各种讨论中可以清楚地看出，如果我在我的网站上接受信用卡并调用Paypal API将CC传递给Paypal，我也必须符合PCI

在我们的解决方案中，用户使用我们网页上的表单提交信用卡信息。然后，我们将这些信用卡信息发送给Paypal，并从Paypal接收一个ID，我们可以将其存储在数据库中。在以后的交易中，用户无需再次输入信用卡信息。我们只需将该ID发送给paypal，以代替信用卡信息

---

为了避免PCI噩梦，我们想依靠Paypal toodls/widgest收集这些信用卡信息，这样我们就可以简单地收到相应的ID。问题是，贝宝有这样的小部件吗？我的选择是什么？

您考虑过使用PayPal Advanced吗？此帐户类型将允许您“在iFrame内”捕获站点上的信用卡，PayPal将处理所有PCI合规性。PayPal Advanced帐户每月只运行5.00美元，而Pro帐户每月运行30.00美元，并且不考虑PCI合规性

---

至于在将来购买时使用交易ID，此功能称为参考交易，也可以添加到您的帐户。

您也可以尝试。截至2013年12月，他们是PayPal的子公司。

PayPal有几种不同的API可供使用。它们列在这里：

我认为他们的自适应支付选项可能适合您：

---

在这种模式下，您将让客户完成您的购买过程，选择产品、数量等。您确定价格，然后按照PayPal自适应支付API（特别是“简单支付”功能）向PayPal发送支付详细信息，包括您计算的价格。然后用户被重定向到PayPal网站，在那里他们可以输入信用卡信息或PayPal帐户详细信息并接受费用。然后，它们会连同支付详细信息一起重定向回您，您可以继续。您的站点仍需要通过SAQ a或SAQ a EP进行PCI合规性测试，具体取决于应用程序向Paypal发送数据的方式

根据PCI委员会：

SAQ A：交付至消费者浏览器的支付页面的所有元素仅直接来自经PCI DSS验证的第三方服务提供商

SAQ A-EP：交付至消费者浏览器的支付页面的每个元素均来自商户网站或符合PCI DSS的服务提供商

---

总的来说，问题在于确保执行重定向的站点是安全的。网站有可能被修改，从而将iFrame、direct POST或其他方式发送到恶意网站

我一定错过了什么。我不希望用户使用Paypal小部件进行购买。用户只能使用Paypla小部件添加信用卡。你能给我指一个链接吗？PayFlow会导致持卡人数据进入服务器，因此即使未存储，它也属于SAQ-D。