私はバックエンドとREST APIで通信するJSフロントエンドを持っており、クレジットカードを処理する必要があります。私は完全なPCI DSS準拠のものにしたくないので、私はトークン化を提供するサードパーティプロバイダ(Stripe、Braintree ..)を使用しているので、必要はありません。バックエンドでPCI DSSなしでクレジットカードを処理する方法
しかし、私は、JSのフロントエンドにCCの詳細のトークン処理をさせたくないのですが、フロントエンドにCCデータをバックエンドとバックエンドに送信したい支払ゲートウェイAPIを使用してCCデータをトークン化し、実際のCCデータの代わりに保管します。
CCデータはバックエンドに入りますので、CCデータ(ストレージではない)の処理と見なされます。つまり、PCIコンプライアンスをある方法で処理する必要があります。
私は、複雑すぎるコード/インフラストラクチャの変更を避けるための簡単な方法があるかどうか疑問に思っていますか?
SAQ C/Dの資格を取得したくない場合は、お客様のPANをサーバーに送信することはできません。それはあなたの決済ゲートウェイ最初のに行く必要がありますし、彼らはあなたが与えるペイロードを取って、あなたのサーバーに送信することができます。私は彼らのサービスをよりよく知っているので
は、私はブレインツリーは、このハンドルを二つの方法を記述することができます。
1)Drop-in UI - この方法では、あなたの支払いページ上のdivを作成して、少しのJavaScriptを追加しますノードを支払いフォームに変換するフロントエンドコードで支払いフォームに記入すると、情報はBraintreeに直接送られ、PCIに関する懸念なしに安全にあなたのサーバーに送金することができます。
2)Hosted Fields - ドロップインUIのスタイルを設定するオプションが少し限られているため、必要に応じてスタイルを設定してページに配置できるカスタムフィールドを追加する必要がある場合は、ホストされているフィールドを探しています。基本的に、あなたのページに一連のiframeを作成して、通常のHTML入力のようにスタイルを設定し、顧客がそれらを入力して「送信」をクリックすると、データが再度Braintreeに送信され、バックエンドAPIに送信して、何でもしてもかまいません。
より厳しいPCI SAQレベルを達成することなく、平文のクレジットカード情報をサーバーに送信する方法は現在ありません。