Ho cercato un gateway di pagamento online, authorize.net , e in particolare il loro metodo di pubblicazione diretta. Questo metodo mi permetterebbe di creare un modulo sul mio server, quindi inviare i parametri del post direttamente al loro server per l'elaborazione. Quindi non esci mai dal mio sito come cliente, ma il mio server può vedere solo la risposta, non le informazioni di pagamento iniziali.
Una domanda a cui ho pensato è la conformità PCI. Ho letto nei commenti di questo blog authorize.net . Esiste una discussione sull'opportunità o meno che il server che ha il modulo debba essere compatibile con PCI. Alcuni dicono di sì, perché il modulo è sul tuo sito che ha il tuo URL e ci sono le informazioni della carta di credito. Altri dicono di no perché il modulo viene inviato direttamente a authorize.net e le informazioni della carta di credito non arrivano nemmeno sul server del commerciante.
Ho letto in alcuni punti sul loro sito che Direct Post Method "semplificherà la conformità PCI del commerciante" o "allevierà alcune delle preoccupazioni sulla sicurezza". In che modo viene semplificata la conformità PCI? Quindi la mia domanda è: il mio sito deve essere compatibile con PCI e, in tal caso, come può semplificarlo?
Una domanda correlata è la chiave della transazione. Authorize.net dice di conservare la chiave in modo sicuro. In che modo le chiavi sono archiviate in modo sicuro su un server? (senza un HSM) Questa chiave è considerata parte di PCI?