البقاء خارج نطاق PCI-DSS: بيانات البطاقة لا تلمس خادمك أبداً

أنت تدير مطعماً بـ 18 طاولة وتريد للزبائن أن يدفعوا بالبطاقة مباشرة من قائمة QR. لحظة أن يلمس رقم البطاقة الخام خادمك، تقع تحت نطاق PCI-DSS SAQ-D — اختبارات اختراق ومسح ASV وتدقيقات تجزئة، بسهولة 8.000 يورو+ سنوياً. مع البنية الصحيحة هذه الكلفة صفر.

SAQ-A مقابل SAQ-D

SAQ-A هو أخف تقييم ذاتي لـ PCI-DSS — 22 سؤال نعم/لا للتجار الذين يخرجون بيانات البطاقة بالكامل إلى مزود معتمد. التكلفة القانونية: 0 يورو.

SAQ-D ينطبق عندما تلمس بيانات البطاقة أنظمتك — الذاكرة، السجلات، المتغيرات المؤقتة. توقع 8.000-15.000 يورو من الامتثال السنوي.

نمط Stripe Elements

Stripe.js Elements يعرض حقل البطاقة داخل iframe من js.stripe.com. PAN وCVV وتاريخ الانتهاء لا يشاركون الأصل مع تطبيقك أبداً.

• الزبون يكتب البطاقة → تبقى في iframe ستريب
• الواجهة الأمامية تستدعي stripe.confirmCardPayment(secret)
• خادمك يرى فقط الرمز (pi_xxx)

thMenu يفعل ذلك افتراضياً

الباقة البلاتينية في thMenu تأتي مع Stripe Elements افتراضياً. لا يوجد خيار "إرسال البطاقة إلى الخادم" لأن كود الخلفية لا يشير إلى PAN. 3D Secure 2.0 والمصادقة القوية PSD2 تدار من جانب Stripe.

لمطعم في دبي أو الرياض، هذا يعني صفر مفاوضات إضافية مع البنك المركزي حول الاحتفاظ بالبطاقة — فقط قدم SAQ-A المعبأ للمكتسب.

الأسئلة الشائعة

هل يتطلب SAQ-A تدقيقاً سنوياً؟ لا، إنه تقييم ذاتي تملؤه وتقدمه للمكتسب سنوياً.

هل تعيدني webhooks ستريب إلى النطاق؟ لا. الحمولة تحتوي فقط على آخر 4 أرقام والعلامة والانتهاء.

ماذا عن الطلبات الهاتفية؟ إذا كتب الموظف البطاقة تنتقل إلى SAQ-D. استخدم Stripe Terminal أو Payment Links.

هل وجدت هذا مفيداً؟ شاركه.