PCI符合WooCommerce和第三方支付网关-可能吗？

Question

我正在考虑使用Wordpress，WooCommerce，第三方支付处理器和不同的插件为电子商务商店。

我很难弄清楚是否有可能做到这一切，并符合PCI DSS和SAQ A的资格。

PCI DSS术语表定义服务提供商如下：“业务实体不是支付品牌，直接参与代表另一实体处理、存储或传输持卡人数据。这还包括提供控制或可能影响持卡人数据安全的服务的公司。例如提供托管防火墙、IDS和其他服务的托管服务提供者以及主机提供商和其他实体。“从上面的定义可以清楚地看出，支付处理器是一个服务提供者。

从WooCommerce上列出的支付网关来看，只有Paypal、Braintree和Stripe提供动力的PayPal为在我国注册的公司提供支付处理。

PCI数据安全标准SAQ-A中指出，为了成为SAQ A商家：“商家确认，对于此支付渠道：▪所有持卡人数据的处理完全外包给经PCI DSS验证的第三方服务提供商；▪您的公司不以电子方式存储、处理或在您的系统或房产上传输任何持卡人数据，而是完全依赖第三方(S)来处理所有这些功能。”

据我所知，为了获得PCI (不收集、存储、处理或传输持卡人数据)，我需要使用URL重定向方法从我的网站到第三方页面或iFrame方法。

问题1:在这种情况下，WooCommerce，我的网站的主机，第三方安全，备份和其他插件提供商被认为是服务提供商，如果我使用WooCommerce重定向方法或iFrame付款？意味着它们应该经过PCI DSS的验证？还是只适用于支付处理器/网关，因为其他人不参与收集、存储、处理和传输持卡人数据？

令我困惑的是，正如WooCommerce网站Paypal中所述，由Braintree和Stripe插件提供动力的Paypal是由WooCommerce开发的。据我所知，WooCommerce不是PCI验证的。

问题2:这是否意味着如果我使用这些插件中的任何一个作为支付网关，我就不能成为SAQ合格的？

我检查了WooCommerce网站为贝宝检查提供的文件，贝宝由Braintree和Stripe提供动力，我真的不明白如何为WooCommerce设置它们。

问题3:这三个支付网关中的任何一个可以使用iFrame重定向或iFrame方法来设置吗？因此，所有的收集，存储，处理和传送持卡人的数据是由付款网关，使我成为SAQ A合格吗？对我来说，似乎PayPal签出只允许与我公司的SAQ要求不兼容的API。

问题4:支付处理器/支付网关(如Paypal或Braintree驱动的PayPal )是否得到了PA的验证？在PCI Council网站上的有效支付应用程序列表中，我找不到PayPal或Braintree。这是否意味着要兼容PCI，我不能使用这两个支付网关中的任何一个？

Answer 1

问题1:在这种情况下，WooCommerce，我的网站的主机，第三方安全，备份和其他插件提供商被认为是服务提供商，如果我使用WooCommerce重定向方法或iFrame付款？意味着它们应该经过PCI DSS的验证？还是只适用于支付处理器/网关，因为其他人不参与收集、存储、处理和传输持卡人数据？

如果您使用URL重定向或iFrame支付，那么您将确保持卡人数据流保持在WooCommerce和相关提供商之外。您的最后一句话是正确的，PCI验证部分不适用于他们，因为他们没有接触持卡人的数据。

问题2:这是否意味着，如果我使用这些插件作为支付网关，我不能成为SAQ A合格吗？

只要这些插件正确地执行URL重定向或iFrame支付，您就没事了。你只是在利用某个人编写一个插件来整合如果插件不在的话你必须做的事情。

问题3:这3种支付方式中的任何一种是否可以使用URL重定向或iFrame方法设置？因此，所有的收集，存储，处理和传送持卡人的数据是由付款网关，使我成为SAQ A合格吗？对我来说，似乎PayPal签出只允许与我公司的SAQ要求不兼容的API。

"WooCommerce开发的条纹“自诩为”PCI遵从Stripe元素“，而条纹元素支持SAQ和托管字段，所以请查看托管字段并确保您使用它。

"贝宝由Braintree为WooCommerce驱动“可以”实现PCIDSSv3.0SAQ--使用托管字段功能进行卡详细收集的遵从性“，再次注意到对托管字段的关注。

我相信"PayPal检查“也支持SAQ遵从通过托管的字段，但找不到一个简洁的参考。

问题4:支付处理器/支付网关，如Paypal结账或由Braintree驱动的PayPal是否得到PA的验证？在PCI Council网站上的有效支付应用程序列表中，我找不到PayPal或Braintree。这是否意味着要兼容PCI，我不能使用这两个支付网关中的任何一个？

我怀疑这些插件不包括在PA，这是一个摇摇欲坠的标准正在消失。这些插件基本上是确保数据PA关注的是远离您的网站。但请注意，IANAQSA。