首先，请原谅我的无知。直到本周，我唯一了解的“信用卡安全”是如何破解系统以及为什么要使用我所做的功能类型（msqli、pdo、参数化查询等）编写 PHP 页面。根据我所涉及的无知，我将尽可能地使这个问题变得有力，并尽量不使其过于复杂。（现在可能为时已晚）

我已经检查了这里的每一个 PCI 合规性 Q，并且现在用谷歌搜索了 2 天，我仍然有一些问题，然后我开始尝试整理一份 PoA 报告以在本文结束时提交给我的雇主星期。

我收到了一封来自 PayPal 的关于成为 PCI Compliant 的电子邮件，后来我了解到，由于我们使用 PP SDK 功能DirectPayment，我们必须获得合规性和认证。之后，我研究并仔细检查了我们当前的 SSL 和结帐实现。除了 PayPal 退货之外，我们不存储任何信息，其中包括 CC 的最后四个，但仅此而已。通过 存储信息的时间很短（从查看页面到订单完成）$_SESSION，并在完成最后一步后删除；不管成功与否。

我的问题

1. CC 用户信息的临时通道是否符合 PCI 标准？
2. 成为 PCI 合规标准是否真的像看起来那么简单：
   • 一个。从认证供应商处获取合规性扫描
   • 湾。完成 PCI DSS SAQ
3. 关于那个 SAQ，尽管进行了很多审查，但我仍然无法准确理解我们需要哪种问卷？
   • 一个。据我目前的理解，我相信我们适合以下类别：C-VT
   • 湾。见Checkout Info下文
4. 我们当前的 SSL 与 COMODO 一起使用。谁能告诉我，如果我们使用同一家公司进行 PCI 合规性扫描，我们仍然有资格获得我们从 PayPal 获得的全套服务吗？
   • 一个。我试过向 PayPal 询问这个问题，但我只是不断收到模板化的答案，这些答案还没有回答我问过的任何问题。（可能是我经历过的第二差的客户服务）
   • 湾。参考 PayPal 的 PCI 合规性文档中的一行：What happens if my business doesn't comply? From a PayPal perspective, your Website Payments Pro account may be limited and eventually suspended.因此，我想知道，任何合规性是否可行，或者是否必须通过其中一个参考供应商，其中 COMODO 未列出。

结帐信息_{我们有 3 种结帐方式}

1. 通过前面提到的 PayPal SDK 方法DirectPayment。我们使用表格，填写客户端并临时存储$_SESSION以收集“提交付款”所需的信息。一旦提交，所有 $_SESSION 数据将被删除，如果成功，返回数据将与订单数据一起保存。如果出错，订单数据会保留在会话中，但会删除 CC 信息并要求用户重试或尝试不同的付款方式。
2. 通过 PayPal Express 按钮。就那么简单。同样，返回数据被存储，但与 的返回数据不同DirectPayment，CC 的最后四个也不被存储。仅返回订单信息、价格和 PayPal Express JSON。
3. 通过电话，再次使用DirectPayment. 我们的一位代表只是收集用户将在公共网站上输入的相同信息，将其输入到相同表单的 CRM 版本中，然后遵循相同的流程。主要区别在于，代表随后返回到 CRM 主页，并且不需要$_SESSION存储，因为他们只是在与客户查看电话信息后直接提交表单。

再次，如果我的问题已经在这里得到解答，而我只是忽略了它们，或者我只是不理解我可能应该理解的东西，那么最诚挚的歉意。

提前感谢您的任何帮助。