Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/php/272.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Php authorize.net(AIM)API是否需要PCI合规性或任何附加认证?_Php_Authorize.net_Pci Compliance - Fatal编程技术网
Fatal编程技术网
  • php/
  • Php authorize.net(AIM)API是否需要PCI合规性或任何附加认证?

Php authorize.net(AIM)API是否需要PCI合规性或任何附加认证?

php

Php authorize.net(AIM)API是否需要PCI合规性或任何附加认证?,php,authorize.net,pci-compliance,Php,Authorize.net,Pci Compliance,我想知道这里是否有人使用过authorize.net“”API 我浏览了他们网站上的常见问题,但我似乎找不到一个直接的答案,也无法在这个时候找到答案 我知道API需要SSL(很明显),但他们的TOS协议是否需要PCI合规性或任何类型的认证,前提是您没有存储信用卡号?此外,如果有人碰巧知道,他们的TOS中是否有任何内容反对将其用于存储商户凭证的应用程序(当然有明确的商户许可) 为了澄清,在最后一部分,我将介绍一个SaS应用程序,该应用程序存储多个商户(同一服务器)的商户id和交易密钥。关于问题的第

我想知道这里是否有人使用过authorize.net“”API

我浏览了他们网站上的常见问题,但我似乎找不到一个直接的答案,也无法在这个时候找到答案

我知道API需要SSL(很明显),但他们的TOS协议是否需要PCI合规性或任何类型的认证,前提是您没有存储信用卡号?此外,如果有人碰巧知道,他们的TOS中是否有任何内容反对将其用于存储商户凭证的应用程序(当然有明确的商户许可)

为了澄清,在最后一部分,我将介绍一个SaS应用程序,该应用程序存储多个商户(同一服务器)的商户id和交易密钥。

关于问题的第一部分。。不需要,它不需要PCI合规性。使用Authorize.net的主要优点之一是将PCI遵从性转移给他们。话虽如此,使用Authorize.net当然不会自动免除您的任何PCI责任。

是的,它需要PCI合规性。AIM要求您先在自己的web服务器上收集用户数据,然后再将其关闭以授权.Net进行处理。这意味着您正在处理和传输信用卡信息,因此必须符合PCI标准

这不是授权.Net的要求,而是支付卡行业的要求。只要商户不违反Authorize.Net的服务条款,Authorize.Net不对商户如何处理其付款承担责任。因此,如果您不符合PCI标准,则Authorize.Net不会在意。但是,如果发卡机构的网站不符合PCI标准且使用AIM API,发卡机构会向商户提出问题。

如果您使用AIM,您就在PCI的范围之内。许多开发人员热切地认为,如果他们仅仅使用AIM api将卡数据向前传输到Authorize.net,他们就不在范围之内

根据当前的PCI规则,所有这些开发人员都是错误的。由于卡信息正在传输到您的服务器,坏人可能会闯入您的服务器并窃取卡信息。不管可能性有多大,您现在都在PCI的范围内

要使用Authorize.Net并远离PCI作用域,请使用集成方法SIM或其新功能。这两种方法都将服务器置于范围之外

更多关于这一点的信息来自于整个PCI合规计划是一团乱麻,将无法执行,因为没有真正明确的答案。存在的少数是模糊和模棱两可的

该指南明确指出,如果您存储或传输敏感的支付数据,那么您就在范围之内。您可以使用支付令牌化服务进行存储,并直接过帐到支付网关进行传输,从而脱离范围。这两种技术都将使您不在范围之内

直接邮寄对我来说毫无意义。我看不出服务器回发步骤如何被视为传输,但直接发送到支付网关却不能。在这两种情况下,您都在发送敏感数据。如果敏感数据是通过安全回发接收的,并且在发送到网关后立即丢弃,那么区别是什么

当你发现web浏览器不必符合PCI标准时,你会笑死的。它甚至可以在本地存储支付数据,并通过不安全的通道传输数据!你可能会争辩说,由于它不是一个公共服务器,而且是由信用卡用户操作的,所以盗窃的可能性较小。无论如何,在回发过程中,支付数据在服务器上待处理的时间很短,也应该有同样的考虑

此外,浏览器可以在任何地方运行,包括公共信息亭和电话。

您是否知道存储商户凭证是否违反任何规则?请澄清。。你的商人证书?谁是商户凭证?假设我运行的是SaS POS/发票应用程序(如freshbooks),商户是我的主要用户——我可以存储这些商户ID等并使用AIM API,而不是像Google Checkout那样工作的简化API吗?这是一个很好的问题。。。您能否代表其他商户通过Authorize.net运行费用。我不知道这个问题的确切答案,但我的猜测是否定的。原因是。。。这更像是一个有根据的猜测。。是指Authorize.net将您的商户信息与您的帐户关联起来存储。这不是一对多的关系。许多商人在他们眼中有许多帐户。业务。-1如果按照当前PCI标准使用AIM,则这是不正确的,因为您正在将数据传输到Auth.net。如果您使用Auth.Net AIM集成,则您的软件/服务器在PCI合规性的“范围”内。这意味着什么取决于您和您的卡协会通过您的商户帐户提供商。即使卡信息从未以任何方式存储或保留?是的。PCI还包括信息的处理和传输,我是否应该假定他们期望的是认证,而不仅仅是法规遵从性?附言:我必须说,你的回复延迟时间(14秒)比我的(19天)好得多……他们或多或少是一个整体。但他们很少对此采取主动。大多数(如果不是全部的话)商户账户提供商不做PCI检查,我知道支付网关不做。我只需要和一个潜在客户打交道,他们实际上有人联系他们,说他们没有遵守,但他们从来没有跟我们做过,所以我不知道这是一个“真正的”违规行为,还是有人只是想从他们那里得到一些钱(有点像那些告诉所有人他们的网站没有优化的SEO公司).有一些公司进行PCI认证。我没有任何客户这样做,因此我不知道他们如何确切地证明您符合PCI,但我相信他们确实为您提供了PCI认为满意的东西。一般来说,大多数公司都是被动的(就像我建议的那样),而不是主动的(作为一个领导者)