Прием платежных карт на сайте, PCI DSS или не надо?
Чтобы вводить данные платежных карт на сайте и передавать в какой-нибудь агрегатор нужно обладать сертификатом безопасности PCI DSS?
Я вот думаю, вряд ли работает кто-то из платежных агрегаторов по-другому?
Все-таки это прямая передача очень важной информации и в любом случае никто работать не будет по-другому.
А зачем вам ввод данных на вашей стороне? можете объяснить ваш сценарий, требующий этой функциональности? Последний раз когда я изучал документацию по вводу платежных данных на своей стороне - поставщик услуг обязался проводить приемосдаточные испытания данного функционала. Требования? отсутствие клиентской логики(только валидация ввода), https-протокол.
Если вам нужен индивидуальный дизайн страницы ввода данных - вступайте в дискуссию с поставщиком услуг. Многие пойдут на встречу при определенных условиях.
Только вот учитывая стоимость сертификации и аудита по PCI DSS - удивляюсь почему вы здесь задаете подобные вопросы. У вас должен быть целый отдел технических спецов по данному вопросу.
А как понимать "отсутствие клиентской логики"? Вообще полное отсутствие?
И я был бы до ужаса благодарен, если бы вы по конкретнее раскрыли момент с "У вас должен быть целый отдел технических спецов по данному вопросу".
Мне просто надо будет говорить по данному вопросу, что такой выход чисто исходя из дизайна и нежелания делиться - не выход.
rusdteam: Ну представьте что вы делаете такую страницу, а ваши скрипты отправляют данные "еще куда-то". Этот факт достаточен чтобы не доверять вашей странице. Я же не спроста сделал приписку "только валидация ввода". По второму пункту я имел ввиду что если вы маленькая компания и не очень понимаете что такое PCI DSS, но считаете что он вам нужен - возможно он вам не нужен. Возможно вам нужно отправить клиента в банк-эквайер и пусть вводит данные там. Вы так и не ответили зачем вам ввод данных на вашей стороне.
