Уменьшение соответствия PCI, когда мой поток контроля имеет страницу подтверждения
используйте setTimeout(function(){$elem.hide();}, 5000);
, Где $elem элемент, Вы хотите скрыться, и 5000 задержка миллисекунд. Можно на самом деле использовать любую функцию в вызове к setTimeout(), тот код просто определяет маленькую анонимную функцию для простоты.
3 ответа
Вот общее практическое правило: если вы не читаете, не сохраняете или не обрабатываете PAN (CC #) и / или срок годности, то вам не требуется соответствие PCI. Если вы даже удаленно прикоснетесь к этому номеру карты, вам нужно будет пройти PCI Compliance.
Почему бы просто не упростить задачу и не использовать PayPal?
Да, это имеет значение, если вы храните номер CC в памяти. Как только номер карты касается вашей сети, вы попадаете в зону действия PCI.
Я не работаю в Braintree, но работаю в компании, которая делает то, что вам нужно. Вам нужна комбинация токенизации и передачи данных на внешний сайт. У нас есть решение, которое позволяет избежать перенаправления на внешний сайт. (Я очень горжусь тем, что это выдумал, и люди сходят с ума по этому поводу.) Это было сделано специально для решения всего, что вы упомянули. (Да, вы не одиноки.)
Я не буду ограничивать ваш поиск саморекламой, так как уверен, что есть много людей, которые этим занимаются. (К тому же я здесь не в официальном маркетинговом качестве и не хочу причинять себе никаких проблем.)
Удачи.
Обновление: Вы можете быть небольшой компанией и по-прежнему достичь уровня 1. Все дело в объеме, и если вы сделаете это правильно с первого раза, ничего не изменится, если вы перейдете на более высокий уровень. Если вы не храните номера CC (посредством токенизации или других вариантов), то это ограничивает приложения и серверы в том, что вам нужно делать для PCI, если вы дойдете до точки, в которой должен быть задействован сторонний аудитор. Это только одна проблема.
Если номер карты вообще доходит до вашего сервера, все, вплоть до этого сервера, подлежит PCI. Крайне глупо, что аудиторы не согласятся с тем фактом, что временное сохранение номера CC в памяти должно ограничивать объем сервера. Но ты прав; прозрачное перенаправление, перенаправление на второй сайт или даже простая обратная передача не могут гарантировать, что данные не будут украдены. PCI - это создание препятствий, затрудняющих взлом данных, а затем возможность заявить, что вы сделали все возможное, чтобы предотвратить кражу данных. (Моя аналогия заключается в том, что PCI ставит обвиняющие пальцы во все точки в направлении пользователя, а не людей, ведущих бизнес, вплоть до процессора.)
Настоящая большая проблема PCI заключается в том, что вы не можете предвидеть насколько строго будут соблюдаться правила, если вы дойдете до того момента, когда потребуется вмешательство аудитора. Каждый аудитор интерпретирует требования PCI DSS по-своему, и даже люди, просматривающие отчеты ROC, могут внезапно решить, что им не нравится то, что вы делаете. На самом деле не имеет значения, о чем вы беспокоитесь; важно то, собираются ли сотрудники PCI принять ваш ROC или они собираются ввести в действие некую новую интерпретацию правил.
Я работал со многими аудиторами и многими крупными компаниями, проходящими через PCI. Сейчас интерпретируется, что ограничение объема означает, что номера карт не могут касаться вашей сети. Как это повлияет на вас, полностью зависит от вашего текущего или будущего объема.
Вам нужно будет заполнить форму D, если вы не перенаправляете пользователя на другой сайт. Это применимо ко всем системам, имеющим PAN, даже если они не записаны на диск. Если вы только начинаете, я бы посоветовал пойти по маршруту перенаправления, чтобы вы могли этого избежать. Предложение PayPal по кредитной карте - действительно разумный выбор для этого. По крайней мере, они большие и прочные, и вряд ли куда-то денутся.
Полное соответствие PCI требует времени и затрат. Я думаю, что лучше отложить это до тех пор, пока у бизнеса не появится доход.