当支付网关让网站处理信用卡细节时，安全性在哪里？

Question

以前有人在eWay支付网关上工作过吗？

基本上，有一个服务端点，在浏览器将客户的详细信息发送到服务器后，您可以从web应用程序中发布客户的详细信息和信用卡详细信息。

现在，这种安全感怎么样了？(请注意，我不是安全专家。在线支付最薄弱的环节，AFAIK，一直是服务的消费方( eCommerce网站本身)。

如果我是用户，我希望我的CC细节只能由支付网关处理，而不是web应用程序。这不是支付网关的全部意义吗？从web应用程序中抽象出安全问题？

Answer 1

同意，从信息披露的角度来看，交易过程中当事人越少越好。

具体来说，对于eWAY (我还没有使用)，我假设您指的是一个web服务公开的托管支付解决方案(请参阅http://www.eway.com.au/Developer/eway-api/hosted-payment-solution.aspx)。eWAY确实提供了其他选择，例如共享支付(请参阅http://www.eway.com.au/Developer/eway-api/shared-payment-solution.aspx)，这是对支付网关解决方案的重定向，但在您的特定位置可能无法使用。

在您获取支付详细信息的情况下，除了支付网关之外，您还需要符合PCI(或等效)标准。此外，您应该避免存储攻击者可能获取的任何支付细节。

从用户的角度来看，我个人的观点是，他们会更加谨慎地被重新定向到他们不知道的支付网关，然后使用网站上的支付。只是要考虑一下。

在我看来，我会使用一个支付网关来处理所有的支付细节，以减轻风险。

我希望这能帮上忙。

Answer 2

将信息传递到支付网关的安全思想在于不必维护您自己的应用程序中的任何卡数据。在这方面，受损害的服务器只能在事后提供有关卡交易的信息。它还为应用程序网站提供了一定程度的简单性，在那里他们不必开发处理信用卡交易的代码。

Answer 3

信用卡安全最薄弱的部分一直是信用卡号码存储在服务器上。如果你不把号码存储在你自己的服务器上，那么被黑客攻击的代价就会小得多。