EenPCI-conforme APIte Integreren betekent niet, een veilige REST-Interface te bauen: betekent, een Architektur te entwerfen, in de Ontwikkelaar en interne Systemen nie Klartext-PAN-Gegevens berühren. Dies is de Kernunterschied tussen een generischen API met Betalingen en een wirklich PCI-conforme Integratie. PCI Proxy EU biedt genau Deze Architektur: de PAN fließt direct in de Vault, en de Ontwikkelaar arbeitet ausschließlich met Token.
Wat "PCI-konform" voor een API betekent
Een "veilige API" is niet per se een PCI-conforme API. Beveiliging bezieht zich op Transportverschlüsselung, Authenticatie, rate limiting en Bescherming voor OWASP-Kwetsbaarheden. PCI-Naleving is spezifischer: U vereist, dat Kaartgegevens (PAN, CVV, Ablaufdatum in Kombination) in een CDE beheert worden, de na PCI DSS v4 gecertificeerd is, en dat Systemen außerhalb de CDE Karteninformationen niet in het Klartext opslaan of verwerken.
Een PCI-conforme API voor Betalingen moet daarom drei Eigenschaften hebben: (1) Kaartgegevens berühren nie De Server van de Handelaar, u worden direct van het Client-Browser of de App naar De Vault verzonden; (2) de Server van de Handelaar ontvangt en verwerkt alleen Token, nie PANs; (3) de Tokenisatie--API wordt van een PCI DSS Level 1 gecertificeerde Aanbieder bereitgestellt, de een gültige AOC (Attestation of Naleving) ausstellen kan.
Hoe de Integratie met PCI Proxy EU funktioniert
PCI Proxy EU stelt een REST-API en een JavaScript-Widget voor de Kartendatenerfassung klaar. In een typische Webintegration fügt de Ontwikkelaar het PCI Proxy EU-Widget in de Checkout-Pagina een: Het Widget rendert de Formularfelder voor de Kaartnummer, het Ablaufdatum en De CVV direct in het gesicherten Kontext van PCI Proxy EU, niet op het Server van de Handelaar. De Klant is Het Kaartgegevens een, het Widget stuurt u direct naar De PCI Proxy EU-Vault en is Het het Merchant-Systeem een Token naar deück.
Ab deze Moment arbeitet de Merchant-Server ausschließlich met Token: Het kan De Token voor terugkerende Betalingen, Rückerstattungen, Teilzahlungen of andere nachfolgende Transacties gebruiken, zonder ooit De Klartext-PAN te berühren. Dies elimineert De Merchant-Server volledig uit de CDE voor de Kartenerfassungsfluss. In Szenarien met Callcenter of MOTO maakt mogelijk PCI Proxy EU een veilige telefonische Eingabe über DTMF of Webmasken, wiederum zonder dat de Agent Klartext-Kaartgegevens ziet of verwerkt.
PCI-bereik-Reduzierung voor Ontwikkelaar
Voor een Ontwikkelaar, de een PCI-conforme API geïntegreerd, is de Praktische Effekt erheblich: Wanneer de Ontwikkelaar-Server nie PAN in het Klartext ontvangt of verwerkt, is de Serverinfrastruktur van de Entwicklers niet in het PCI-bereik. Logs, Caches, tijdelijke Dateien, Databases, geen Deze Ressourcen vereist PCI DSS-Controles, wanneer u Tokens bevatten, geen PANs.
Dies betekent praktisch, dat Handelaar, de PCI Proxy EU voor de Kartenerfassung gebruiken, eenSAQ AofSAQ A-EPstatt een SAQ D einreichen kunnen. De Anzahl de anwendbaren Vereisten sinkt van über 300 op 22-30, Wat De Naleving-Aufwand erheblich verkleint. Voor Fintechs en Startups betekent dies, dat de PCI-Naleving niet Meer een monatelanger Proces is, de De Go-Live blockiert, sondern etwas, het in einigen Tagen in het Rahmen van de normalen Entwicklungszyklus abgeschlossen worden kan.
Veelgestelde vragen
Kan ik De PCI Proxy EU-Token voor terugkerende Betalingen gebruiken?
Ja. De van PCI Proxy EU ausgestellte Token is een dauerhafter Card-on-File-Token, de voor spätere Transacties gebruikt worden kan: Abonnements----, Verlängerungen, partielle Beträge of Rückerstattungen. De Handelaar übergibt De Token zusammen met het Transaktionsbetrag naar De PSP, de ihn in de zugehörigen PAN voor de Autorisatie beim Acquirer auflöst, zonder dat de Handelaar ooit De PAN in het Klartext raakt.
Is het PCI Proxy EU-JavaScript-Widget voor Alle E-Commerce-Plattformen compatibel?
Het Widget is framework-agnostisch en kan in Elke Web-Plattform geïntegreerd worden: React, Vue, Angular, Vanilla JS, WordPress/WooCommerce, Shopify über Apps. De Integratie vereist de Einbindung van de Scripts en de Configuratie de Callback-Felder, om De Token te ontvangen. Voor native Mobile-Apps stelt PCI Proxy EU SDKs voor iOS en Android klaar, de dasselbe sicherheitsarchitektonische Muster replizieren.
Welchen SAQ kan ik na de integratie van PCI Proxy EU voor Alle Zahlungsflüsse einreichen?
Wanneer Alle Kartendatenerfassungsflüsse (online, MOTO, Telefoon) über PCI Proxy EU-Tools routen en de Händlerserver nie PANs in het Klartext ontvangt, kan de Handelaar in het Allgemeinen een SAQ A (voor rein webbasierte E-Commerce-Handelaar) of SAQ A-EP (wanneer de Handelaar Seitenelemente beheert, de de Karteneingabe omvatten) einreichen. De genaue SAQ-Typ wordt van het Acquirer in Afstemming met de PCI-Netzwerkrichtlinien bestimmt.
Entwickeln U een Zahlungsintegration en möchten verstehen, Hoe U PCI Proxy EU in Uw Architektur Integreren?Ontdekken U de Technische Documentatie.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op