[visions]

Citat:

Ursprungligen postat av Simsim

Kraven i 3.0 kan komma att träffa e-handlare även om man skickar kunden vidare till en payment processor.

Se: https://www.pcisecuritystandards.org...PCI_DSS_v3.pdf

If any element of a payment page delivered to consumers’ browsers originates from the merchant’s website, SAQ A does not apply; however, SAQ A-EP may be applicable. Examples of e-commerce implementations addressed by SAQ A-EP include:
 Merchant website creates the payment form, and the payment data is delivered directly to the payment processor (often referred to as “Direct Post”).
 Merchant website loads or delivers script that runs in consumers’ browsers (for example, JavaScript) and provides functionality that supports creation of the payment page and/or how the data is transmitted to the payment processor.

Vilket i mitt tycke innebär att man hanterar kortnummer, dvs om formuläret för kortnumret finns på din sida på något vis. Man bör undvika det och skicka kunden till Payment Processor där de sedan fyller i sina kortuppgifter.
Jag förstår att inte alla gör på det viset och då behöver man antingen certifieras ( kostsamt ) eller ändra hur betalning sker ( mindre kostsamt ).

Man kan sammanfatta det med: Om du på något vis skickar kundens kortuppgifter till din payment processor (antingen via din sida eller via t.ex. javascript i kundens browser) så behöver du+din webhost certifieras.
Jag kan för övrigt tycka att om det sker via JavaScript då borde kundens klient (dator) certifieras?

Om du skickar kund direkt till Payment Processor utan att skicka med kortuppgifter så är du "safe".