卡详细信息由第三方处理时的电子商务合规性

Question

当卡的详细信息由第三方(如Paypal )处理时，适用哪些形式的电子商务合规性，如PCI-DSS？

我建立了一个定制的购物车系统，使用贝宝快递，所以卡的细节永远不会击中我的服务器。然而，我确实保留了客户的详细信息，所以我必须或应该遵守什么遵从性-无论是在代码级别还是硬件级别？

Answer 1

根据PCI DSS，如果客户详细信息与PAN (又称信用卡号码)一起存储，则只需对其进行加密。由于您不是在存储或处理PAN，因此您应该不需要额外做任何事情。

请参阅第5页的PCI DSS：

https://www.pcisecuritystandards.org/security_standards/pci_dss_download.html

Answer 2

如果信用卡数据从未实际到达您的服务器(包括由于表单投递而导致的RAM )，则PCI-DSS不适用。到目前为止，将你的信用卡处理外包给一个合规的第三方是最简单的方式。