<br><div class="gmail_quote">On Wed, Mar 21, 2012 at 12:32 PM, Steve Tooke <span dir="ltr"><<a href="mailto:steve.tooke@gmail.com">steve.tooke@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>I seem to remember there being problems using the SagePay server option with ActiveMerchant. This is because you have to redirect to the sagepay servers to take the actual card details, avoiding PCI compliance issues.</div>
</blockquote><div><br>I seem to remember the same thing but don't know the details. But I feel compelled to add that you're not actually *avoiding* PCI issues by using Server, you're just minimising them.  You will still need to complete the self-assessment form, it's just that it gets a lot simpler because you may be able to use one of the shorter versions.<br>
<br>In particular, if you have a staff-facing backend for placing orders on behalf of customers (perhaps you have telephone sales or bricks&mortar outlets that you want to put through the system) you need to look at that code - and the systems used to access it - carefully, because at least according to my reading of the standard even the thin clients talking to your web-based ordering system are inside scope if there are employees using them. After all, they might have keyloggers attached<br>
<br><br>-dan<br clear="all"></div></div><br>-- <br><a href="mailto:dan@telent.net" target="_blank">dan@telent.net</a> <br><a href="http://ww.telent.net" target="_blank">http://ww.telent.net</a><br><br>