it-swarm-eu.dev

Ukládání podrobností o kreditní kartě

Potřebuji uložit čísla kreditních karet pro opakovanou fakturaci prostřednictvím našeho obchodníka třetí strany.

Existují nějaké normy, které musím dodržovat, pokud jde o uchovávání údajů? Přijímáme kreditní karty po celá léta, ale my jsme se zbavili jejich detailů, jakmile jsme s nimi hotovi. Naši zákazníci požádali o uložení jejich údajů, aby nemuseli každý měsíc manuálně platit své předplatné.

Přechod na Paypal využívat jejich předplatné není možnost. Musíme je uložit a musím se ujistit, že je skladování bezpečné!

Pro naše data používáme MSSQL 2005 a vše je již SSL'd.

59
Mark Henderson

Budete muset následovat (k dopisu) a nejlépe překročit standard PCI DSS . To není v žádném případě snadný úkol, ani by se neměl brát triviálně.

I silně doporučuji najít procesor třetí strany, který to zvládne za vás a integrovat do váš fakturační systém. Jde jen o způsob, jak mít SSL a šifrování informací v databázi. Musíte také sledovat přístup, detekovat narušení, mít zavedené systémy, které mohou v případě narušení informovat pouze postižené osoby (a určit, která data mohla být ohrožena) atd.

Potom existuje fyzický přístup k serverům, síti atd. To znamená uzamčený kabinet, který není sdílen na serverech, které vlastníte, kde je také chráněna fyzická síť LAN. Dodržování nebude levné ani snadné.

Opravdu, vynaložte veškeré úsilí, abyste to přenesli na třetí stranu. Odpovědnost sama o sobě prostě nestojí za riziko, pokud nehovoříte o transakcích, které činí stovky tisíc (sem vložte svou měnu) měsíčně. V takovém případě mohou ušetřené poplatky odůvodnit získání talentu potřebného k implementaci a sledování systémů, které ukládají informace. Budeš potřebovat:

  • Systémoví programátoři (budete potřebovat háky pro auditování jádra a systému souborů)
  • IDS/IPS gurus (pokud máte rádi uzamčení dodavatele)
  • 24/7/365 zaměstnanců sledovat výstrahy generované ze systémů, které odborníci navrhli. Tito lidé nejsou levní, rozhodují se vytáhnout fakturační záslepku nebo nahlásit chybu v použitých algoritmech.

A pak byste to mohli docela levně přenést na třetí stranu.

84
Tim Post

Nikdy není dobré ukládat podrobnosti o kreditní kartě vždy. Právě se připravujete na pád, každá slušná platební brána vám umožní provádět opakované transakce pomocí tokenu, kde nemusíte ukládat údaje o kreditní kartě.

22
Whisk

Mnoho odpovědí, které hledáte, najdete na webu Příručka pro dodržování platebních karet . Jejich stránka Odkazy je zvláště užitečná.

Nejlepším návrhem by bylo nechat tuto paměť zpracovat třetí stranou.

13
Bryson

Nezahrnuje váš obchodník třetí strany možnost průběžných plateb kreditními kartami - většina z těch velkých ve Velké Británii jistě ano (DataCash, RBS World Pay atd.).

V zásadě jim zasíláte podrobnosti o kartě jednou, s žádostí o autoritu CCC (což, pokud si správně vzpomínám, musí obsahovat očekávaný rozvrh a pravidelnou částku), a poté od nich obdržíte token. Pak každý měsíc/cokoli oslovíte obchodníka tokenem a zpracovají následné transakce za vás - obvykle existují také zařízení, která je nastaví pro variabilní, ad-hoc požadavky. Klíčovým požadavkem na vašem konci je informovat zákazníka (obvykle nejméně 10 dní) před provedením platby.

Tímto způsobem nikam neukládáte údaje o CC, to vše řeší lidé, kteří splnili požadavky.

Je to podobné jako v případě předběžných autorizací na kartě, takže byste nikdy neměli ukládat kreditní kartu, pouze token od obchodníka, který můžete volat podle potřeby.

8

Musíme je uložit a musím se ujistit, že je skladování bezpečné!

Jedna otázka: Proč?

Ptám se na to jen proto, že se musím vypořádat s PCI sám, a držet krok s ním je bolest. I když moje každodenní práce nás kvalifikuje jako nejnižší příčku pro splnění PCI, stále je v ní mnoho. Šifrování, aspekty minimálních oprávnění, zabezpečení operačního systému serveru, vnitřní síťové zabezpečení, zabezpečení hranic, audity třetích stran ... vše je v pořádku. A to dokonce ani u nás neukládáme informace o kreditní kartě!

(Sidenote: Pokud děláte elektronický obchod, musíte být v souladu s PCI, i když si data CC neuložujete. Pokud se nyní nestěžujete, zvažte, zda máte štěstí, že vás to ještě neubralo.)

Podívejte se, jak to zvládne váš procesor. Používáme Authorize.net a mají skvělé API, takže si můžeme vytvořit vlastní vlastní rozhraní frontend, ale starají se o ukládání a řešení skutečných plateb. Pokud bychom chtěli nastavit opakovanou fakturaci, měli by systém ukládat informace. Upřímně, věřím jim víc než věřím sobě.

4
dragonmantank

Jak již bylo zmíněno, hledáte PCI-DSS. Stejně jako ostatní lidé uvedli, dodržování předpisů bude pravděpodobně pro malé weby neúměrně nákladné.

Přechod na Paypal využívat jejich předplatné není možnost. Musíme je uložit a musím se ujistit, že je skladování bezpečné!

Na své platební bráně byste mohli místně uložit ID, které identifikuje informace o kreditní kartě zákazníka. Nejsem si jistý, že Paypal tuto možnost nabízí, ale existují i ​​jiné platební brány.

Také mějte na paměti, že i když neukládáte data o kreditní kartě na disk, stále máte prostor pro některé požadavky PCI-DSS. Nejjednodušší způsob, jak vyhovět, je nepřijmout žádné údaje CC (tj .: POSTEM platebního formuláře přímo na platební bránu).

4
Thiago Figueiro

Služby jako http://chargify.com/ nabízejí další vrstvu na vrcholu stávajících platebních bran. Pravděpodobně vám nabídnou nejrůznější způsoby, jak pro vás ukládat kreditní karty, implementovat opakující se platby a dokonce pro vás vytvářet přehledy.

To vám umožní obejít celou odpovědnost a problém s PCI. Jeden problém mám, je, pokud jednoho dne chcete změnit dodavatele, účty obchodníků nebo brány. Jak si vezmete s sebou 10 000 zákazníků? Předávají databázi kreditních karet? Bude práce s konkurentem přesouvat informace o kreditní kartě?

Pochybuji. Je pravděpodobné, že budete muset požádat všechny své zákazníky, aby znovu odeslali své fakturační údaje, pokud změníte poskytovatele. To je jeden malý argument ve prospěch ukládání informací o kreditní kartě sami. Pravděpodobně to stojí jen za to, pokud budete mít spoustu zákazníků a hodně příjmů. Byl bych velmi zvědavý, když jsem slyšel myšlenky jiných lidí o tomto konkrétním hlavolamu.

3
zaqintosh

Nemám dostatek opakování, abych mohl hlasovat nebo komentovat, takže to bude v nové odpovědi. Jak zhaf poukázal na , mnoho obchodních společností nabízí opakující se platební systém, kde pro vás zpracovávají úložiště.

Používáme Authorize.net pro všechny zákazníky, kteří nechtějí používat Paypal, a funguje to celkem dobře (naší jedinou velkou stížností je to, že se API klíč resetuje každých 6 měsíců a neobtěžují vás informovat, když k tomu dojde, takže stránka přestane fungovat). Jejich API je založeno na XML a najdete pro něj obaly téměř v každém jazyce.

2
ChiperSoft

Upozorňujeme, že pokud se nakonec rozhodnete uložit informace o kreditní kartě ve svém vlastním db, neměli byste za žádných okolností ukládat místný bezpečnostní kód karty . To je striktně zakázáno asociacemi karet.

BTW, k provedení transakce nepotřebujete bezpečnostní kód karty. Zlepšuje míru odhalování podvodů, ale neměli byste ji potřebovat, pokud máte trvalý vztah se zákazníkem. (A i když si myslíte, že je potřebujete, nemůžete ji uložit. Bez ohledu na to.)

Také jsem druhé doporučení, aby informace neuchovávaly. Customer Information Manager je snadno a levně použitelný. Bude pro vás mnohem levnější jej používat, spíše než vynakládat náklady na PCI spojené s ukládáním informací na vlastní servery.

1
Larry K

Pokud se chystáte ukládat kreditní karty do databáze, je šifrování klíčové. Budete také chtít (nebo možná potřebujete) nechat provést rutinní testování shody prováděné třetími stranami, aby se zajistilo, že vaše systémy budou šňupat.

1
Milner