¿Mi servidor debe cumplir con el cumplimiento de PCI si solo reenvía el número de tarjeta de crédito?

Sí, su servidor como se describe tiene que ser compatible con PCI. Sin embargo, la mayoría de los procesadores admiten modos de operación, diferentes a los que usted describe . lo que limitará su alcance *.

Usted dice:

  

• Mi cliente envía la información de la tarjeta de crédito a mi servidor
  
• Mi servidor reenvía esto a braintree (o paypal) y recibo una ficha de identificación de tarjeta de crédito
  

Si los datos de la tarjeta de crédito son transmitidos, almacenados o procesados por su servidor, entonces su servidor está dentro del alcance y está sujeto a un conjunto razonablemente grande de cumplimiento de PCI, como SAQ C o SAQ D.

Sin embargo, la mayoría de los procesadores son compatibles con las tecnologías iframe y / o javascript que permitirán que su servidor se elimine del bucle. El cliente envía sus datos de la tarjeta directamente al procesador, y el procesador les entrega una parte que puede entregarle. en lugar de una tarjeta de crédito para llevar a cabo la compra. Usted, a su vez, cobra esa ficha para obtener un token que representa los datos de la tarjeta que le entregaron al procesador.

Cuando dicha tecnología está en uso y aísla sus sistemas de cualquier participación directa con los datos de la tarjeta, sus requisitos de cumplimiento se reducen a SAQ A o SAQ A-EP.

Debería preguntar a su procesador " ¿Qué ofertas tiene para la tokenización que me permitirán mantener a mis servidores fuera del alcance y reducir mis requisitos de cumplimiento de PCI? " (si dicen "¿eh?" , encuentra un nuevo procesador.)

  

[si es así, ¿es realmente posible] tener un sistema de pago que no   requiere una cuenta de usuario en el custodio.

No. Si está permitiendo que un procesador maneje las tarjetas por usted, entonces debe darles una cuenta bancaria para usarlas en la transferencia de fondos (por ejemplo, compras) y de (por ejemplo, devoluciones de cargo). Y cuando quieran la cuenta bancaria, querrán todo tipo de información tediosa como quién eres. De hecho, el procesador lo está patrocinando en la red de tarjetas. Son responsables de tus deudas si te portas mal.

(Y eso es cierto ya sea que estén administrando los datos reales de la tarjeta (tokenización) o simplemente procesando transacciones ... Los números de las tarjetas de crédito no son útiles sin el procesamiento de la red de la tarjeta; no puede cobrarlos sin una conexión para el sistema, y el sistema no está diseñado para miembros anónimos. Si desea el anonimato, cargue en Bitcoins o Simoleons en lugar de tarjetas de crédito).

* Si su empresa está aceptando pagos con tarjeta de crédito, está obligado por PCI, incluso si no toca los datos reales de la tarjeta de crédito. Lo mejor que puede hacer es reducir su alcance : si está sujeto a SAQ A, por ejemplo, tendrá ~ 15 requisitos en lugar de ~ 300 para SAQ D.

Los documentos de Braintree muestran un ejemplo donde los datos de la tarjeta se envían directamente a ellos y usted solo recuperar un token Si este caso se adapta a sus necesidades, entonces el cumplimiento de PCI no es necesario.

Entonces el flujo sería así:

• El usuario ingresa los datos de su tarjeta en un formulario creado por la biblioteca de JavaScript de Braintree y lo envía. Se dirige a su servidor y envían un token, que se inserta en un campo oculto en su formulario.
• Su formulario se envía a su servidor, pero no contiene más que un token que hace referencia a la tarjeta guardada en los servidores de Braintree.
• Su servidor usa el token como si fueran datos de la tarjeta (puede asociarlo a clientes, configurar suscripciones, etc.) pero no puede usarse fuera de su cuenta de Braintree y, por lo tanto, no es parte de PCI-DSS. alcance.