安纳克萨...

如果我在我的网站上使用 PayPal Express Checkout，我是否需要符合 PCI DSS？

是的。如果客户访问您的网站，将东西放入购物车，然后单击“我想为这些东西付款”并以某种方式被重定向到由其他人托管的支付页面，那么您仍然有 PCI 合规义务。

通过网站支付标准、在线发票、快速结账和网站支付 Pro Hosted，PayPal 代表您处理支付卡信息，因此大大减轻了 PCI 合规性的负担。”什么？“大大减轻了负担”？这是什么意思？

“大大减轻了负担”意味着您将有资格获得比不使用他们的服务时更轻松的 SAQ。我对他们在那里列出的不同产品知之甚少，但例如，标记化可以帮助缩小从 SAQ-D 到 SAQ-C 的范围。如果正在使用标记化并且使用 Web 重定向通过其服务器传输支付数据，那么您可以根据使用的重定向类型下拉到 SAQ-A EP 或 SAQ-A。

查看 Express Checkout 说明，可能意味着您正在查看 SAQ-A 或 SAQ-A EP。

请帮忙，我很困惑，不确定我是否需要让工作变得合规。

你需要变得顺从。对于 SAQ-A，这非常简单。在 SAQ-A EP 的情况下，稍微复杂一点。如果您升级到 SAQ C+，那么您现在有工作要做。

要找出您需要达到的合规级别，请使用您的处理器 - 在这种情况下是 PayPal。告诉您的销售联系人您想了解您的 PCI 义务是什么，并询问您是否可以与他们的合规部门的某个人交谈，了解您将属于哪个 SAQ 以及将其提交给他们的流程是什么。

来自https://www.paypal.com/au/webapps/mpp/pci-compliance：

我们最受欢迎的产品，例如网站支付标准、快速结账和发票，已经符合 PCI 标准。而且，由于我们为您处理客户的卡信息，您可以忘记维护 PCI 合规性的时间、成本和头痛。

因此，按照 PayPal 的措辞，如果您不处理持卡人数据（必须至少包括卡的主帐号），则无需执行任何操作PAN。

首先，对支付提供商和大型商户进行违规罚款，因此如果 PayPal 面临巨额罚款，他们将确保每个使用其服务的商户都填写他们的自我评估问卷（ SAQ），因为 PayPal 将负责确保其系统的输入也符合要求。

即使是最简单的SAQ-A自我评估，大多数个体交易者也无法可靠地完成自我评估，因为它有太多他们不知道的技术因素。

从这张图（https://www.pcicomplianceguide.org/wp-content/uploads/2016/01/SAQ-3-1-Ecommerce-Options-Explained-Examples-ControlScan.pdf），甚至有一个产品页面——不管它是否收集持卡人数据——似乎都暗示SAQ-A-EP需要使用。但是，SAQ-A-EP它涵盖了商家站点同时提供 css 或 javascript 以保持商家和提供商站点之间呈现的一致性的情况，因此该图可能只是表明了这一点，但并非毫无歧义。

一般来说，我发现 PCI 文档相当迟钝和过度，因为他们不断地将持卡人数据作为他们的主要标准，但似乎想要控制输入到他们流程中的每个系统，无论是否包含 PAN。提供信息意味着您的个人详细信息和系统的详细配置将提供给一个或多个第三方，您应该信任他们自己的系统和流程。

PCI 文档提到了这种情况even if you don't store cardholder data，但没有单独明确涵盖您的系统不处理任何持卡人数据的情况，即甚至不收集或传输它。请注意，数据仅cardholder data在包含 PAN 时才会出现，否则无论您是否接受信用卡付款，您都可能持有的只是客户数据，虽然该客户数据具有良好的数据处理安全性是好的，但它不应该是任何卡公司的业务，如果它不包括 PAN。

需要注意的是，在技术上，PDT并IPN没有返回cardholder data，因为它们不包括PAN与返回的客户和交易细节。

在 PCI 下你还有一些要求

其他答案已经或多或少地解决了这在法律上意味着什么，但不一定从产品开发或数据流的角度来看这意味着什么，以及为什么 PCI 仍可能影响您。PCI 的首要任务不仅仅是确保信用卡号码不被盗，而是确保信用卡交易背后的整个过程防止资金被盗。

在线交易大致可以分为 3 个阶段：生成、支付和解决。

PayPal 仅对付款以及在某些情况下交易的解决部分承担责任。但是您将始终自己负责生成部分。当您创建购物车时，您有责任确保它发送给 PayPal 的内容是正确的。而且，如果您使用该购物车来解决交易（决定谁会得到什么），那么您还需要确保您正在正确处理 PayPal 发回给您的确认信息。

即使使用 PayPal，您也可能违反 PCI 的一些常见方式包括：

• 允许用户通过更改 HTML 来更改交易。
• 允许 XSS 脚本注入来更改事务。
• 以允许 MiM 更改事务的方式传输数据。
• 允许伪造交易和/或验证。
• 允许更改交易。
• 允许不必要地访问您的履行记录（以便可以更改它们）
• 假阳性/阴性。

一个例子：

您有一个带有购物车的网站，允许用户留下产品评论。您的购物车有一个表单，其中包含一个隐藏的 HTML 输入，其中包含应该接收付款的公司（即您）的 PayPal 帐户，以便您的网页可以在他们单击提交时将交易直接发布到 PayPal。评论部分不能防止 XSS 攻击；因此，黑客只需在包含 JavaScript 的产品上留下评论，该产品会将隐藏的收件人字段重写为黑客的 PayPal 帐户。然后，每次用户去购买你的产品时，黑客都会得到报酬，而不是你。当客户后来抱怨您没有交付他们支付的产品时，您的记录将显示他们从未支付过费用。

在这里，PayPal 完成了安全收集和处理您的系统发送给他们的信息的工作，但您的疏忽仍然导致黑客能够从您的客户那里窃取资金，因为您处理的交易部分执行不当。因此，即使您使用 PayPal 之类的服务，PCI 仍然要求您在交易中的部分是合规的，因为 PayPal 只处理整个交易的一部分。