paypal如何保护来自这些业务合作伙伴的客户数据？

Question

如果贝宝的业务伙伴在其website.If中使用贝宝的web服务，该web服务要求其客户的用户名和密码，贝宝如何保护来自这些业务伙伴的客户数据?如何在客户、贝宝和其业务伙伴之间进行soap交易？

Answer 1

看起来你在问两个不同的问题？但我想尝试回答这两个问题。

问题1

如果我没理解错的话，您的第一个问题是问PayPal如何为客户提供保护，使其免受“业务合作伙伴”的影响，我和PayPal一样，更多地称“业务合作伙伴”为“商家”。

您提到了“业务伙伴”收集的用户名和密码，因此我将首先解决这个问题。通常，用户名和密码仅由收集用户名和密码的网站保护。通常，站点的登录和会话与PayPal的登录和会话是分开的。因此，即使站点正在使用PayPal，该站点也可能不会使用PayPal来保护登录到其自己的站点的帐户凭据。

如果站点正在使用PayPal，并且系统提示客户/用户登录其PayPal帐户进行付款，则凭据应仅发送到PayPal站点(您可以在表单操作视图源代码中查找paypal.com )。通常，客户只能通过由PayPal提供服务的页面上的表单登录到PayPal (url中包含paypal.com)。我会怀疑任何页面，是提示用户登录到他们的PayPal帐户，没有paypal.com在域名的网址。即使是现在与PayPal拥有相同所有权的eBay，也将让eBay用户在通过paypal.com提供的页面上输入他们的PayPal帐户凭据。

有几种方法可以使用PayPal实现支付处理。商家实现PayPal支付处理的方式通常是让客户只向PayPal服务器输入他们的信用卡信息。这是PayPal保护客户免受业务合作伙伴/商家攻击的一种方式。当客户的信用卡信息被PayPal收集时，PayPal不会与商家共享信用卡信息。仅向商家发送了解支付/交易状态所需的详细信息。

PayPal还为客户提供另一种类型的保护。它被称为“购买保护”(以前称为“买方保护”)，它基本上是担保、政策、web应用程序、组织等的组合，旨在确保买方获得他们向商家支付的东西。

此外，我想补充的是:许多商家认为信用卡信息是一种负债。有些人可能会收集它，为用户提供处理未来付款的能力，而不需要重新输入，但许多人只是不存储信用卡信息，以避免责任。您永远不应该发送未加密的信用卡信息。您可以通过检查正在收集您的信用卡信息的表单的表单操作，检查您的信用卡信息是否将加密发送。大多数浏览器会让你知道你的信息是否通过安全性降低的协议发布，比如HTTPS (加密)到HTTP (纯文本)，所以有时会检查当前的url是否足够好(尽管仍然有办法绕过这一点)。

问题2

SOAP是一种数据交换协议，可用于商家(“业务合作伙伴”)和PayPal之间的通信。我不认为在客户和业务伙伴(商家)之间存在SOAP“事务”(如您所述)是很常见的，但是从商家到PayPal，PayPal SOAP API是可以使用的。这种数据传输方法与其他方法一样安全，因为必须对通信进行加密才能连接到PayPal的SOAP服务器。有关更多信息，请参阅PayPal SOAP API或SOAP protocol的详细信息。