Eu investiguei o processo de conformidade com a PCI para minha pequena organização sem fins lucrativos há alguns meses. Nesse ponto, o processo de conformidade com PCI é uma farsa. É quase impossível para qualquer pequena empresa cumprir o processo de certificação PCI, usando ou não um datacenter compatível com PCI.
O que vem a baixo é que a indústria de cartão de crédito está tentando pode a besta que tem crescido nos últimos 30 anos. O processo de conformidade com o PCI destina-se a forçar as empresas a usarem os principais processadores de cartão de crédito para processar qualquer transação com cartão de crédito, garantindo que as informações de cartão de crédito nunca estejam nas mãos (ou computadores) do comerciante final.A maneira como o processo de PayPal PayflowPro funciona, é que o seu O cliente faz um pedido no seu site e, em seguida, ele é encaminhado para a página de pagamento do PayPal (personalizado ao seu gosto) para inserir o pagamento e o gateway envia um 'OK' ao seu site, informando que o pagamento foi processado.
Isso difere do que aconteceu no passado, ou seja, eles inseriam as informações do cartão de crédito em seu site e, em seguida, você passava essas informações para um gateway de comerciante, o que dava ao seu site o OK. Existem outros processadores comerciais que fazem a mesma coisa, como authorize.net e Google Payments .
Essa alteração significa que o seu site e o servidor hospedado não precisam estar em conformidade com PCI, pois as informações do cartão de crédito nunca passam por ele. Espero que isso não seja um desabafo, mas o Como eles têm implementado PCI e 'assustando' clientes com conformidade com PCI, e cobrando taxas ao longo do caminho, tem sido uma piada.
Você encontrará muitas empresas dispostas a vender serviços de conformidade com o PCI (mesmo neste site), mas, na minha opinião, é apenas um snakeoil.