<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><caveat this with the usual caveats></div><div><br></div><div>There are two levels of PCI. (actually I think their are more, but for this purpose two is enough)</div><div><br></div><div>Level 2, is what Spreedly needs to be. That their servers are protected and that the database where the card details are saved is secure. Etc.</div><div><br></div><div>Leve 1 is what you need to be. Which basically says you are using a compliant level 2 provider, not storing their details etc etc.</div><div><br></div><div>To achieve level 1 PCI compliance you fill out a form once a year with your gateway providers bank of choice (for us I think this is HSBC) and pay £12 or so. It's basically a protection wracked and means nothing. But it is what it is.</div><div><br></div><div>The fact user details enter details on your form is mostly irrelevant, unless you store the details. You're only bound by PCI level1 which says "we're just a website, not us guv, everything goes through them"</div><div><br></div><div>So IMHO Spreedly is right on this.</div><div><br></div><div>(contact me directly if you want me to put you in touch with their CTO who can explain this a lot better than me)</div><div><br></div><div><br></div><div>Also all this is mainly out of my foggy memory of doing this a few years ago. But we've been running this way for a while.</div><div><br></div><div>Also PCI compliance isn't law. It's part of your agreement with the gateway to process credit cards. I think the main risk of lack of compliance is them withdrawing access to the gateway. It's also less of a big deal at low transaction volume.</div><div><br></div><div></caveat this with the usual caveats></div><br><div><div>On 22 Mar 2012, at 11:16, <a href="mailto:chat-request@lists.lrug.org">chat-request@lists.lrug.org</a> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">Message: 7<br>From: Riccardo Tacconi <<a href="mailto:rtacconi@gmail.com">rtacconi@gmail.com</a>><br><br>So I am using Spreedly Core with Sage Pay as gateway. With Spreedly I have<br>created a form where the user enters the card details and then he is sent<br>to Spreedly to store the data and he is sent back to my app with token so I<br>can do the transaction. Two stakeholders raise an issue because the users<br>will enter their card details in a form, and by only doing that it binds us<br>to deal with PCI. Spreedly web site says the opposite. I am wondering who<br>is right.</span></blockquote></div><br></body></html>