Dal link :
Our most popular products, like Website Payments Standard, Express Checkout and Invoicing, are already PCI compliant. And, because we handle your customers’ card information for you, you can forget about the time, cost and headache of maintaining PCI compliance.
Quindi, con la dicitura di PayPal, non è necessario eseguire qualsiasi se non si gestiscono i dati dei titolari di carta (deve includere almeno il PAN - Numero di conto primario - per una carta).
In primo luogo, le multe per inadempienza sono applicate ai prestatori di servizi di pagamento e ai grandi commercianti, quindi se PayPal fosse in linea per un'enorme multa, avrebbero garantito ogni commerciante utilizzando i loro servizi compilerebbe il questionario di autovalutazione (SAQ), poiché PayPal sarebbe responsabile di garantire che anche gli input nei loro sistemi siano conformi.
Anche la più semplice autovalutazione SAQ-A sarebbe al di là della maggior parte dei soli operatori economici per completare in modo affidabile se stessi, solo perché ha troppe considerazioni tecniche di cui non avrebbero idea.
Da questo diagramma ( collegamento ), anche la presenza di una pagina prodotto, indipendentemente dal fatto che raccolga i dati dei titolari di carta, sembra implicare che il SAQ-A-EP debba essere utilizzato. Tuttavia, SAQ-A-EP copre la situazione in cui il sito merchant fornisce simultaneamente css o javascript per mantenere la coerenza della presentazione tra i siti del commerciante e del provider, quindi il diagramma potrebbe semplicemente indicarlo, ma non in modo univoco.
In generale, ritengo che la documentazione PCI sia piuttosto ottusa e eccessivamente ampia poiché fa continuamente riferimento ai dati dei titolari di carta come i loro principali criteri, ma sembra voler controllare ogni sistema che alimenta il loro processo, indipendentemente dal fatto che il PAN sia incluso o no. Fornire le informazioni significa che i tuoi dati personali e la configurazione dettagliata dei tuoi sistemi vengono forniti a una o più terze parti, i cui sistemi e processi sono ritenuti affidabili.
La documentazione PCI fa riferimento alla situazione even if you don't store cardholder data
, ma non espone separatamente in modo esplicito la situazione in cui i tuoi sistemi non gestiscono i dati dei titolari di carta nessun , cioè non raccolgono o trasmettono nemmeno esso. Tieni presente che i dati diventano cardholder data
solo quando include il PAN, altrimenti sono solo i dati dei clienti che potresti conservare indipendentemente dal fatto che tu abbia preso i pagamenti con carta di credito, e pur avendo una buona sicurezza nella gestione dei dati dei dati dei clienti è buona, dovrebbe essere nessuna delle attività delle compagnie di carte, se non include il PAN.
Nota che, tecnicamente, PDT e IPN non restituiscono cardholder data
, in quanto non includono il PAN con il cliente ei dettagli della transazione restituiti.