He estado buscando una pasarela de pago en línea, authorize.net , y específicamente su Método de publicación directa. Este método me permitiría crear un formulario en mi servidor y luego enviar los parámetros de publicación directamente a su servidor para su procesamiento. Así que nunca abandonas mi sitio como cliente, pero mi servidor solo puede ver la respuesta, no la información de pago inicial.
Una pregunta en la que he pensado es el cumplimiento de PCI. He estado leyendo los comentarios de este blog de authorize.net . Existe un argumento sobre si el servidor que tiene el formulario debe cumplir con PCI. Algunos dicen que sí, porque el formulario está en su sitio que tiene su URL y hay información de la tarjeta de crédito. Otros dicen que no porque el formulario se envía directamente a authorize.net y la información de la tarjeta de crédito ni siquiera llega al servidor del comerciante.
He leído en algunos lugares de su sitio que el método de publicación directa "simplificará el cumplimiento de PCI del comerciante" o "aliviará algunas de las preocupaciones sobre la seguridad". ¿Cómo se simplifica exactamente el cumplimiento de PCI? Entonces, mi pregunta es si mi sitio debe ser compatible con PCI y, en caso afirmativo, ¿cómo puede esto simplificarlo?
Una pregunta relacionada es la clave de transacción. Authorize.net dice para almacenar de forma segura la clave. ¿Cómo se almacenan las claves de forma segura en un servidor? (sin un HSM) ¿Esta clave se considera parte de PCI?