it-swarm-tr.com

Kredi kartı detaylarını kaydetme

3. parti satıcımız aracılığıyla tekrarlayan faturalandırma için kredi kartı numaralarını kaydetmem gerekiyor.

Ayrıntıların depolanmasıyla ilgili uymam gereken standartlar var mı? Yıllardır kredi kartlarını kabul ediyoruz ancak onlarla iş yaptıktan sonra ayrıntılarını atardık. Müşterilerimiz her ay abonelik ücretlerini manuel olarak ödemeleri gerekmeyecek şekilde ayrıntılarını kaydetmemizi istedi.

Aboneliklerinden yararlanmak için Paypal'a taşınmak bir seçenek değildir. Onları saklamalıyız ve deponun güvenli olduğundan emin olmalıyım!

Verilerimiz için MSSQL 2005'i kullanıyoruz ve her şey zaten SSL'di.

59
Mark Henderson

İzlemeniz gerekir (mektuba) ve tercihen --- PCI DSS standardını aşmanız gerekir. Bu, hiçbir şekilde başarması ve önemsizce alınması gereken kolay bir iştir.

Ben şiddetle bunu sizin için halledebilecek ve entegre edebilecek üçüncü taraf bir işlemci bulmanızı tavsiye ederim. Faturalandırma sisteminiz. Sadece SSL'ye sahip olmamak ve veritabanındaki bilgileri şifrelemekten öteye gidemez. Ayrıca erişimi izlemeniz, izinsiz girişleri tespit etmeniz, ihlal durumunda yalnızca etkilenen kişileri uyaran (ve hangi verilerin tehlikeye girebileceğini belirleyebileceğiniz), vb.

Ardından, sunuculara, ağa vb. Fiziksel erişim vardır. Bu, fiziksel LAN'ın da korunduğu sunucularda paylaşılmayan kilitli bir dolap anlamına gelir. Uyumluluk ucuz ya da kolay olmayacak.

Gerçekten, bunu üçüncü bir tarafa devretmek için mümkün olan her türlü çabayı harcamak. Aylık olarak yüzbinlerce (işlem para birimini buraya yerleştirin) tutarındaki işlemlerden söz etmediğiniz sürece, sorumluluk sadece riske değmez. Bu durumda, tasarruf ettiğiniz ücretler, bilgiyi depolayan sistemleri uygulamak ve izlemek için gereken yeteneklerin ortaya çıkmasını haklı kılabilir. İhtiyacın olacak:

  • Sistem programcıları (çekirdek ve dosya sistemi düzeyinde denetim kancalarına ihtiyacınız olacak)
  • IDS/IPS guruları (satıcıya kilitlenmeyi sevmiyorsanız)
  • Uzmanların tasarladığı sistemlerden kaynaklanan uyarıları izlemek için 7/24/365 personel. Bu insanlar ucuz değillerdir, faturalandırma fişini çekmeye ya da kullandığınız algoritmalarda bir hata bildirmeye karar verirler.

Ve sonra tekrar, hepsini ucuza bir üçüncü tarafa aktarabilirsiniz.

84
Tim Post

Kredi kartı bilgilerini saklamak asla iyi bir fikir değildir hiç. Sadece bir düşüşe hazırsınız, herhangi bir makul ödeme ağ geçidi, kredi kartı ayrıntılarını saklamak zorunda olmadığınız bir belirteçle tekrarlanan işlemler yapmanıza izin verecektir.

22
Whisk

Aradığınız birçok cevabı Payment Card Industry Compliance Guide web sitesinde bulabilirsiniz. Onların Bağlantılar sayfası özellikle kullanışlıdır.

En iyi öneri, üçüncü bir tarafın bu depolamayı yönetmesine izin vermektir.

13
Bryson

3. Parti Tüccarınız Sürekli Kredi Kartı Ödemeleri için bir seçenek içermiyor mu - burada İngiltere'deki en büyüklerin çoğu kesinlikle (DataCash, RBS World Pay, vb.).

Temel olarak, bir CCC otoritesine (talep edilen programı ve düzenli tutarı doğru bir şekilde hatırlamam gerekiyorsa geri çağırmam gerekiyorsa), bir talepte Kart Ayrıntılarını bir kez gönderir ve onlardan bir jeton alırsınız. Sonra her ay/tüccarı belirteci ile neye indirirseniz götürün ve sonraki işlemleri sizin için işleme koyarlar - genellikle bunları değişken, geçici istekler için ayarlamak için tesisler de vardır. Sonunuzdaki kilit şart, ödemeyi yapmadan önce müşteriye (genellikle en az 10 gün) bildirmektir.

Bu şekilde, CC ayrıntılarını hiçbir yerde saklamıyorsunuzdur; bunların hepsi gereksinimleri karşılayan kişilerce ele alınmaktadır.

Bu, bir kartta Ön provizyonlar yapmaya benzer, bu yüzden hiçbir zaman tüccardan gerektiğinde arayabileceğiniz bir jeton olan kredi kartını saklamak zorunda kalmamalısınız.

8

Onları saklamalıyız ve deponun güvenli olduğundan emin olmalıyım!

Bir soru: Neden?

Bunu sadece soruyorum çünkü PCI ile kendim ilgilenmek zorundayım ve buna ayak uydurmak acı verici. Günlük çalışmam, bizi PCI uyumluluğunun en düşük basamağı olarak nitelendirmesine rağmen, buna devam eden çok şey var. Şifreleme, en az ayrıcalıkla ilgili konular, sunucu işletim sistemi güvenliği, dahili ağ güvenliği, sınır güvenliği, üçüncü taraf denetimleri ... hepsi yetişmek için çok şey var. Ve bizde bile kredi kartı bilgilerini saklamayan!

(Sidenote: E-ticaret yapıyorsanız, CC verilerini saklamamış olsanız bile PCI uyumlu olmalısınız. Şikayetiniz olmadıysa, henüz sizi ısırmadığı için kendinizi şanslı sayın.)

İşlemcinizin halletmesini sağlayın. Authorize.net'i kullanıyoruz ve harika bir API'ye sahibiz, böylece kendi özel ön uçlarımızı oluşturabiliriz, ancak gerçek ödemeleri saklamaya ve ilgilenmeye özen gösterirler. Tekrarlayan bir fatura oluşturmak istiyorsak, bilgileri depolayacak bir sisteme sahipler. Açıkçası onlara kendime güvendiğimden daha çok güveniyorum.

4
dragonmantank

Başkalarının da söylediği gibi, PCI-DSS'yi arıyorsunuz. Ayrıca, diğer kişilerin de söylediği gibi, uyumun küçük siteler için son derece pahalı olması muhtemeldir.

Aboneliklerinden yararlanmak için Paypal'a taşınmak bir seçenek değildir. Onları saklamalıyız ve deponun güvenli olduğundan emin olmalıyım!

Müşterinin kredi kartı bilgilerini tanımlayan bir kimliği yerel olarak ödeme ağ geçidinizde depolayabilirsiniz. Paypal'ın bu seçeneği sunduğundan emin değilim, ancak bunu yapan başka ödeme ağ geçitleri de var.

Ayrıca, kredi kartı verilerini diske kaydetmese bile, bazı PCI-DSS gereklilikleri kapsamında olduğunuzu unutmayın. Şimdiye kadar uyumlu olmanın en kolay yolu, herhangi bir CC verisi almamaktır (yani: ödeme formunu doğrudan ödeme ağ geçidine POSTALAMAK yoluyla).

4
Thiago Figueiro

Gibi hizmetler http://chargify.com/ mevcut ödeme ağ geçitlerinin üstüne ekstra bir katman sunar. Sizin için kredi kartı saklamak, düzenli ödemeler uygulamak ve hatta sizin için raporlar oluşturmak için her türlü yolu sunacaklardır.

Bu, tüm sorumluluğu ve PCI uyumluluk sorununu atlamanıza izin verecektir. Endişelendiğim tek sorun, bir gün satıcıları, satıcı hesaplarını veya ağ geçitlerini değiştirmek isteyip istemediğinizdir. 10.000 müşterinizi yanınıza nasıl alıyorsunuz? Bir kredi kartı veri tabanı veriyorlar mı? Kredi kartı bilgilerinin taşınması için rakiple çalışma yapılacak mı?

Şüpheliyim. Muhtemelen, sağlayıcıları değiştirirseniz, tüm müşterilerinizden fatura bilgilerini tekrar göndermelerini istemeniz gerekir. Bu, kredi kartı bilgilerini kendiniz saklamak lehine olan küçük bir argümandır. Muhtemelen sadece çok fazla müşteriniz ve çok fazla geliriniz olacaksa buna değer. Bu bilmecede başkalarının düşüncelerini duymayı çok merak ediyorum.

3
zaqintosh

Henüz oy vermek ya da yorum yapmak için yeterli desteğim yok, bu yüzden bu yeni bir cevaba girecek. zhaph'ın belirttiği gibi , birçok tüccar şirket sizin için depolamayı idare ettikleri düzenli bir ödeme sistemi sunar.

Paypal kullanmak istemeyen herhangi bir müşteri için Authorize.net kullanıyoruz ve gayet iyi çalışıyor (tek büyük şikayetimiz, API anahtarının 6 ayda bir sıfırlanması ve bunun gerçekleştiği zaman sizi haberdar etmekten rahatsız olmamasıdır. sayfa sadece çalışmayı durdurur). API'leri XML tabanlıdır ve paketleyicileri hemen hemen her dilde bulabilirsiniz.

2
ChiperSoft

Kredi kartı bilgilerini kendi db'nizde saklamaya karar verirseniz, hiçbir koşulda basamaklı kart güvenlik kod saklamamalısınız. Bunu yapmak, kart dernekleri tarafından kesinlikle yasaktır.

BTW, işlem yapmak için kart güvenlik koduna ihtiyacınız yoktur. Sahtekarlık tespit oranını iyileştirir, ancak müşteri ile devam eden bir ilişkiniz varsa buna ihtiyacınız olmamalıdır. (Ve ihtiyacın olduğunu düşünüyorsan bile, saklayamazsın. Ne olursa olsun.)

Ben de bilgi saklamamak için diğer önerileri ikinci. Authorize.Net'in Müşteri Bilgi Yöneticisi kullanımı kolay ve ucuz. Bilgiyi kendi sunucularınızda saklamak için gereken PCI maliyetlerini kullanmak yerine, kullanmanız çok daha ucuz olacaktır.

1
Larry K

Kredi kartlarını veritabanınızda saklayacaksanız, şifreleme anahtarıdır. Ayrıca, sistemlerinizin karışmasını sağlamak için üçüncü bir tarafın rutin uyumluluk testi yapmasını isteyebilirsiniz (veya belki de buna ihtiyaç duyabilirsiniz).

1
Milner