选择集成方法
要使用 Mastercard Gateway 接受付款人的付款,您必须选择一种集成方法。 这些方法全部允许您从付款人处收集付款详细信息,并创建必要的交易来管理整个订单生命周期,从发起有付款人参与的单次付款到进行定期付款,以及在必要时提供退款。
主要的集成方法有:
- Hosted Checkout
此集成包括由网关托管的付款页用户界面 (UI)。 网关提供 UI 来直接从付款人收集所有付款详细信息,因此您根本不需要处理敏感的支付卡行业 (PCI) 数据。 该解决方案既安全又可快速部署,但由于它使用预定义的 UI,因此对您控制用户体验的能力造成了一些限制。
- Hosted Session
通过此集成,您可以定义自己的付款页来从付款人处收集付款详细信息。 但是,为了实现最低的 PCI 合规成本,付款页必须使用网关托管的字段。 这样,网关就会直接收集付款数据,您无需进行处理。 此解决方案比 Hosted Checkout 更先进,允许您完全控制用户体验。 如果您想以移动应用的形式向付款人提供付款解决方案,可以使用 Mobile SDK 来实现应用的 Hosted Session 集成。
- Direct Payment
通过此集成,您可以完全控制付款页和用户体验。 您自行收集并存储付款人的付款详细信息。 此解决方案最高级,部署速度也最慢,但它可以让您实现复杂的场景。
您必须实施上述集成方法之一,因为它们允许您实施需要付款人主动参与(以授权您想要创建的付款)的持卡人发起的交易 (CIT)。
如果您的业务流程需要将批量操作一起进行批处理,例如,CAPTURE 或 TOKENIZE,可以使用 Batch 集成。 它让您可以通过基于文件的批处理向网关发送大量交易。 请记住,Batch 通常比 API 解决方案要慢,因为操作在更低的优先级进行处理,然后整个文件必须在开始任何处理和下载结果之前上传和解析。
比较集成方法
下表列出了主要集成方法之间的一些关键差异,以让您能够更轻松地选择满足特定业务要求的方法。
| 功能 | Hosted Checkout | Hosted Session | Direct Payment |
|---|---|---|---|
| 目标 PCI 范围 | 符合 SAQ-A 标准 | 符合 SAQ-A 标准 | 符合 SAQ-D 标准 |
| API 使用 |
|
REST 服务器 API | |
| 开发工作量 |
|
|
|
| 付款页可自定义 |
|
|
完全控制 UI、流和用户体验 |
PCI 合规性
PCI 是一套旨在保护敏感支付卡数据的安全标准。 处理卡付款的商家使用自我评估问卷 (SAQ-A) 来评估其是否遵守 PCI 标准:
- SAQ-A 是最简单、最基本的 SAQ。 这意味着商家已将所有持卡人数据处理外包给符合 PCI 数据安全标准 (DSS) 的第三方服务提供商,在本例中为 Mastercard Gateway。 符合 SAQ-A 合规标准的商家不能存储、处理或传输任何持卡人数据。 他们可以处理电子商务和邮件/电话订单 (MOTO) 付款。 如果您符合 SAQ-A 标准,则必须选择 Hosted Checkout 或 Hosted Session 集成方法。
- SAQ-D 是一份更全面的 SAQ,适用于需要处理各种付款的更大、更复杂的企业。 符合 SAQ-D 合规标准的商家可以存储、处理和传输持卡人信息,他们需要采取必要的安全措施来保护交托给他们的持卡人信息。 如果您符合 SAQ-D 标准,则可以使用 Direct Payment 集成方法。
网关不强制要求符合特定 PCI 合规标准。 您的支付服务提供商 (PSP) 和收单行确定您需要满足哪类标准,网关只提供不同的集成方法来支持您满足这些要求。 API 集成和通过 Merchant Administration UI 进行交易管理均有 SAQ-A 和 SAQ-D 合规支持。
如果您需要符合 SAQ-A 标准,您的 PSP 必须在您的商家配置中启用它(针对 API、UI 或两者):
- 如果已为 UI 启用了 SAQ-A 合规标准,网关将禁用订单输入屏幕,阻止您通过输入卡详细信息来创建 MOTO(邮购/电话)订单。
Your payment service provider 还可以在 UI 中将您设置为符合 SAQ-A 标准,同时为您提供出于某些特定目的违反常规标准的选项。 在这种情况下,您可以在 Merchant Administration 中为您创建的任何操作员启用“查看未隐藏账户识别码”权限。 但是,为操作员启用该权限是违反 SAQ-A 合规标准的做法。
- 如果已为 API 启用 SAQ-A 合规标准,网关将拒绝直接包含 PCI 敏感持卡人数据(如卡号)的交易。 您必须包含用于保留持卡人数据的容器,如付款会话或令牌。 网关还会隐藏交易响应中的任何主账号 (PAN)。 如果您在使用 Batch 集成,任何包含未隐藏 PAN 的批处理都会被拒绝。 如果您请求在响应中返回未隐藏 PAN,网关将返回错误以强制满足 SAQ-A 合规要求。
如果您需要能够查看未隐藏 PAN,请联系您的 PSP 讨论具体方案。