- 集成指南
- SAQ-A 合规
SAQ-A 合规
商家和支付服务提供商使用自我评估问卷 (SAQ) 来评估他们的 PCI 合规性要求。 有关 SAQ 的更多信息,请参阅了解 PCI DSS 版本 3 的 SAQ。
SAQ-A 将 PCI 合规作为商家必须履行的最低级别的义务,因为 PCI 敏感数据的管理由第三方(如 QNB ALAHLI)执行。 根据 PCI 的规定,SAQ-A 商家可以是电子商务或邮件/电话订购 (MOTO) 商家(无需持卡),并且不会在其系统或场所以电子格式存储、处理或传输任何持卡人数据。
网关支持 SAQ-A 合规性
网关不强制您必须满足 SAQ-A 合规要求;但是,它会提供相关功能来支持您履行您的 SAQ-A 义务。 该支持适用于 API 集成和 Merchant Administration。
作为先决条件,your payment service provider 必须为您启用 SAQ-A 合规(通过 UI、API 或同时通过二者)。
通过商家 UI 实现 SAQ-A 合规性
如果您选择通过 UI 实现 SAQ-A 合规要求,网关将阻止您通过在订单输入屏幕输入卡详细信息来创建 MOTO(邮购/电话)订单 — 订单输入屏幕将被禁用。
通过 API 实现 SAQ-A 合规性
如果您选择通过 API 遵守 SAQ-A,则网关将拒绝 直接 包含 PCI 敏感持卡人数据(例如卡号)的交易。 您可以包括持卡人数据(如付款会话或令牌)容器来替代卡详细信息。
在与 Hosted Session 集成结合使用时,付款会话支持 SAQ-A 合规。 您还可以选择在网关处理您的持卡人数据时使用 <<checkout>> 来集成。
如果您使用 <<batchIntegration>> 进行集成,包含未隐藏 PAN 的批处理将被拒绝。
网关还将在交易响应中隐藏 PAN。 如果您请求在响应中返回未隐藏的 PAN,网关将返回错误来支持 SAQ-A 合规。