Web services 贝宝如何保护客户数据不受业务合作伙伴的影响？

如果paypal的业务合作伙伴在其网站上使用paypal的web服务。如果web服务要求提供其客户的用户名和密码，paypal如何从这些业务合作伙伴处保护客户数据？如何在客户、paypal及其业务合作伙伴之间进行soap交易

你似乎在问两件不同的事情？但我想试着回答这两个问题

---

问题1

如果我理解正确的话，你的第一个问题是问PayPal如何保护客户免受“业务合作伙伴”的伤害，我和PayPal一样，更常称之为“商家”

您提到了“业务合作伙伴”收集的用户名和密码，因此我将首先解决这个问题。通常，用户名和密码仅由收集它们的站点保护。通常，网站的登录和会话与PayPal的登录和会话是分开的。因此，即使该站点使用PayPal，该站点也可能不使用PayPal来保护登录到其自己站点的帐户凭据

如果站点正在使用PayPal，并且提示客户/用户登录其PayPal帐户进行付款，则凭据应仅发送到PayPal站点（您可以在表单action[查看源]中查找PayPal.com）。通常，客户只能通过PayPal提供的页面上的表单登录PayPal（PayPal.com位于url中）。如果有任何页面提示用户登录到他们的PayPal帐户，而该url域中没有PayPal.com，我将对此表示怀疑。即使是现在与PayPal拥有相同所有权的eBay，也会让eBay用户在PayPal.com提供的页面上输入他们的PayPal帐户凭据

有几种方法可以通过PayPal实现支付处理。对于商家来说，实现PayPal支付处理的方式通常是让客户只向PayPal服务器输入信用卡信息。这是PayPal保护客户免受业务合作伙伴/商户伤害的方法之一。当PayPal收集客户的信用卡信息时，PayPal不会与商户共享信用卡信息。仅向商户发送了解付款/交易状态所需的详细信息

贝宝还为客户提供了另一种类型的保护。它被称为“购买保护”（以前称为“买方保护”），基本上是一种担保、政策、网络应用程序、组织等的组合，旨在确保买方获得他们向商户支付的费用

另外，我想补充一句：许多商家认为信用卡信息是一种责任。有些人收集信用卡信息是为了让用户能够处理未来的付款而无需重新尝试，但许多人只是不存储信用卡信息以避免责任。你不应该发送未加密的信用卡信息。通过检查收集信用卡信息的表单的表单操作，您可以检查您的信用卡信息是否会被加密发送。大多数浏览器都会让您知道您的信息是否是通过安全性降低的协议发布的，例如HTTPS（加密）到HTTP（纯文本），因此有时会检查当前url是否足够好（尽管仍有解决方法）

---

问题2

SOAP是一种数据交换协议，可用于商户（“业务合作伙伴”）和PayPal之间的通信。我不认为客户和业务伙伴（商户）之间存在SOAP“交易”（如您所述）是常见的，但从商户到PayPal，可以使用PayPal SOAP API。由于通信必须加密才能连接到PayPal的SOAP服务器，因此这种数据传输方法与其他方法一样安全。有关详细信息，请参阅或的详细信息