
Great thank you<br><br><div class="gmail_quote">On 22 March 2012 12:30, Adrian Sevitz <span dir="ltr"><<a href="mailto:adrian@vzaar.com">adrian@vzaar.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div style="word-wrap:break-word"><div><caveat this with the usual caveats></div><div><br></div><div>There are two levels of PCI. (actually I think their are more, but for this purpose two is enough)</div><div><br></div>

<div>Level 2, is what Spreedly needs to be. That their servers are protected and that the database where the card details are saved is secure. Etc.</div><div><br></div><div>Leve 1 is what you need to be. Which basically says you are using a compliant level 2 provider, not storing their details etc etc.</div>

<div><br></div><div>To achieve level 1 PCI compliance you fill out a form once a year with your gateway providers bank of choice (for us I think this is HSBC) and pay Ł12 or so. It's basically a protection wracked and means nothing. But it is what it is.</div>

<div><br></div><div>The fact user details enter details on your form is mostly irrelevant, unless you store the details. You're only bound by PCI level1 which says "we're just a website, not us guv, everything goes through them"</div>

<div><br></div><div>So IMHO Spreedly is right on this.</div><div><br></div><div>(contact me directly if you want me to put you in touch with their CTO who can explain this a lot better than me)</div><div><br></div><div><br>

</div><div>Also all this is mainly out of my foggy memory of doing this a few years ago. But we've been running this way for a while.</div><div><br></div><div>Also PCI compliance isn't law. It's part of your agreement with the gateway to process credit cards. I think the main risk of lack of compliance is them withdrawing access to the gateway. It's also less of a big deal at low transaction volume.</div>

<div><br></div><div></caveat this with the usual caveats></div><br><div><div>On 22 Mar 2012, at 11:16, <a href="mailto:chat-request@lists.lrug.org" target="_blank">chat-request@lists.lrug.org</a> wrote:</div><br><blockquote type="cite">

<span style="border-collapse:separate;font-family:Helvetica;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;font-size:medium">Message: 7<br>

From: Riccardo Tacconi <<a href="mailto:rtacconi@gmail.com" target="_blank">rtacconi@gmail.com</a>><div class="im"><br><br>So I am using Spreedly Core with Sage Pay as gateway. With Spreedly I have<br>created a form where the user enters the card details and then he is sent<br>

to Spreedly to store the data and he is sent back to my app with token so I<br>can do the transaction. Two stakeholders raise an issue because the users<br>will enter their card details in a form, and by only doing that it binds us<br>

to deal with PCI. Spreedly web site says the opposite. I am wondering who<br>is right.</div></span></blockquote></div><br></div><br>_______________________________________________<br>

Chat mailing list<br>

<a href="mailto:Chat@lists.lrug.org">Chat@lists.lrug.org</a><br>

<a href="http://lists.lrug.org/listinfo.cgi/chat-lrug.org" target="_blank">http://lists.lrug.org/listinfo.cgi/chat-lrug.org</a><br>

<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>Riccardo Tacconi<br>Ruby on Rails and PHP development - System Administration<br>VIRTUELOGIC LIMITED<br><br><a href="http://github.com/rtacconi" target="_blank">http://github.com/rtacconi</a><br>

<a href="http://riccardotacconi.blogspot.com" target="_blank">http://riccardotacconi.blogspot.com</a><br><a href="http://twitter.com/rtacconi" target="_blank">http://twitter.com/rtacconi</a><br>