Sì, il tuo server come descritto deve essere conforme PCI. Tuttavia, la maggior parte dei processori supporta modalità operative, diverse da quelle che descrivi , che limiterà il tuo ambito *.
Dici:
- My client sends the credit card information to my server
- My server forwards this to braintree (or paypal) and I get back a credit card ID token
Se i dati della carta di credito vengono trasmessi, archiviati o elaborati dal server, il server è nel campo di applicazione e si è soggetti a un set di conformità PCI ragionevolmente ampio come SAQ C o SAQ D.
Tuttavia, la maggior parte dei processori supporta le tecnologie iframe e / o javascript che permetteranno al server di essere rimosso dal ciclo - il client invia i dati della sua carta direttamente al processore, e il processore gli consegna alcuni chit che possono consegnare a te al posto di una carta di credito per portare avanti l'acquisto. Tu, a tua volta, incassi quella pedina per ottenere un token che rappresenta i dati della carta che hanno consegnato al processore.
Quando tale tecnologia è in uso e isola i tuoi sistemi da qualsiasi coinvolgimento diretto con i dati delle carte, i tuoi requisiti di conformità scendono fino a SAQ A o SAQ A-EP.
Dovresti chiedere al tuo processore " Quali offerte hai per la tokenizzazione che mi consentirà di tenere i miei server al di fuori del campo di applicazione e ridurre i miei requisiti di conformità PCI? " (Se dicono "huh?" , trova un nuovo processore.)
[if so, is it] actually possible to have a payment system that does not
require a user account at the custodian.
No. Se stai consentendo a un processore di gestire le carte per te, allora devi dare loro un conto bancario da usare nel trasferimento di fondi (ad es. Acquisti) e da (ad esempio, chargeback). E quando vogliono il conto in banca, vorranno tutti i tipi di informazioni fastidiose come chi sei. Il processore, infatti, ti sponsorizza nella rete delle carte. Sono responsabili per i tuoi debiti se ti comporti male.
(E questo è vero se gestiscono i dati delle carte per te (tokenizing) o semplicemente elaborano le transazioni ... I numeri delle carte di credito non sono utili senza l'elaborazione da parte della rete di carte, non puoi caricarli senza una connessione al sistema, e il sistema non è progettato per i membri anonimi.Se si desidera l'anonimato, caricare in Bitcoin o Simoleon invece di carte di credito).
* Se la tua azienda accetta pagamenti con carta di credito, sei vincolato da PCI, anche se non tocchi tu stesso i dati effettivi della carta di credito. Il meglio che puoi fare è ridurre il tuo ambito - se sei soggetto a SAQ A, ad esempio, avrai ~ 15 requisiti invece di ~ 300 per SAQ D.