我正在为向客人的酒店发送优惠的酒店开发一个 Web 应用程序。我想通过第三方服务以安全的方式存储客人的信用卡数据,因为我不想自己实施符合 PCI 的解决方案。
我不想(也不能)处理付款,因为每家酒店都有自己的付款网关,稍后会处理付款。然而,我们应该赋予每家酒店在客人接受报价时访问信用卡数据的能力。酒店必须执行反欺诈检查(如 1 美元交易)或在其支付软件系统中引入 cc 数据。
我想了解如何实现此工作流程:大多数在线服务都提供“标记化”作为存储解决方案。
这看起来不错,但我不知道如何将卡信息发送到酒店。在我看来,标记化用于稍后执行交易,而我不能代表酒店执行此操作。此外,一旦标记化,在我看来数据无法恢复。每家酒店都必须能够实际查看和使用其客人的 cc 数据。
欢迎提供任何帮助和/或参考合适的提供商。
如果您完全触摸持卡人数据,即使只是接收它们并立即将它们传输到其他地方,您也需要担心 PCI。(也许不是直接付款——如果您不自己收款,那么您就没有合同责任……但收款的商家必须确保作为第三方服务提供商的您是合规的。)
令牌化服务仅允许您通过将存储排除在等式之外来减少范围内的系统数量;它不允许您完全逃离 PCI。您必须创建自己的工作流程来将代币分发给第三方并授权他们(强烈!)查看去代币化的数字;这肯定会受到 PCI 的所有严格要求。
商家通过让支付处理器处理持卡人数据的整个流程来避免被拖入 PCI 范围——当需要输入卡号时将用户重定向到其处理器的网站,并在最后重定向回来。我不知道有任何类似于支付处理器的服务会为您获取这些详细信息,而不是进行交易,而是将它们交给单独的商家方。
你的模型本质上是非常冒险的。在此工作流程中,您的商家将在没有安全代码(CVV2 等人)或 3-D 安全(VbV 等人)的情况下进行无卡初始交易。这让商家承担了很多责任,并且如果您的系统有任何问题,您将面临法律乐趣的风险。
我的第一个想法是:如果您使用第三方进行 CC 信息存储,但可以选择从该提供商获取 CC 信息,这实际上相当于您自己存储数据。
完全使用令牌化,因此您可以“访问” CC(因此您可以创建费用),但看不到 CC 信息本身。