没有PCI合规性的安全交易？

Question

我是一名自由开发者，为一家初创公司创建了一个网站。在这个时候获得PCI兼容将是困难的，因为该网站仍处于主要开发阶段，资金相当短缺。

情况是这样的:他们希望以一种快速而简单的方式接受按需付款。这将涉及到在虚拟pinpad中输入id，然后输入PIN。这应该处理交易，给卡充电，然后就可以完成了。因为我们目前不符合PCI，我希望安全性如下:用户，在帐户管理中，可以单击链接重定向到第三方支付处理器(我们目前使用的是Authorize.Net)。在此页面上，用户输入他们的卡信息，然后输入电子邮件/某种形式的ID。他们的卡通过此第三方保存，第三方将用户的ID发送给我们，只要用户的电子邮件(或我们端使用的任何标识)。现在，当用户想要创建交易时，我们发送用户ID、API密钥、第三方使用的交易密钥以及要收费的金额。他们给账户充值，一切都很好。

有人有这方面的经验吗？这个是可能的吗？欢迎其他解决方案。同样，该公司的资金略有不足，交易金额通常在10美元左右。他们目前正在处理100%的现金，平均每天约30笔交易，预计今年夏天这一数字将大幅增加。

Answer 1

不幸的是，使用新的DSS 3.1，您可能仍然需要执行SAQ EP。SAQ A-EP的部分要求包括：

您的电子商务网站不会接收持卡人数据，但会控制如何将消费者或他们的持卡人数据重定向到PCI DSS验证的第三方支付处理器。

尽管您的站点从不获取或处理信用卡数据，但由于您的站点确实执行重定向，因此该重定向可能会更改为指向恶意站点。

更多信息可以在SAQ A-EP中找到。