Хранение данных кредитной карты

Мне нужно хранить номера кредитных карт для повторного выставления счетов через нашего стороннего торговца.

Существуют ли какие-либо стандарты, которые необходимо соблюдать для хранения деталей? Мы принимаем кредитные карты в течение многих лет, но мы использовали, чтобы отбросить их детали, как только мы закончили с ними. Наши клиенты просили, чтобы мы храним их данные, чтобы они не платили ежемесячную абонентскую плату каждый месяц.

Переход на PayPal для использования их подписки не является вариантом. Мы должны хранить их, и я должен убедиться, что хранилище в безопасности!

Мы используем MSSQL 2005 для наших данных, и все уже SSL'd.

59 голосов | спросил Mark Henderson 16 J000000Friday10 2010, 09:51:26

10 ответов


84

Вам нужно будет следовать (к письму) и предпочтительно превышать PCI DSS стандарт. Это никоим образом не является легкой задачей для выполнения и не должно приниматься тривиально.

I strong рекомендую вам найти сторонний процессор, который может справиться с этим для вас и интегрировать его в вашу биллинговую систему. Это выходит за рамки простого SSL и шифрования информации в базе данных. Вы также должны контролировать доступ, обнаруживать вторжения, иметь системы на месте, которые могут уведомить только затронутых людей в случае нарушения (и определить, какие данные могут быть скомпрометированы) и т. Д.

Затем есть физический доступ к серверам, сети и т. д. Это означает заблокированный кабинет, который не используется на серверах, которыми вы владеете, где физическая ЛВС также защищена. Соблюдение не будет дешевым или легким.

Действительно, приложите все усилия, чтобы разгрузить это третьему лицу. Ответственность сама по себе просто не стоит риска, если вы не говорите о транзакциях, составляющих сотни тысяч (вставьте свою валюту здесь) ежемесячно. В этом случае сборы, которые вы сэкономите, могут оправдать привлечение талантов, необходимых для внедрения и мониторинга систем, которые хранят информацию. Вам понадобится:

  • Системные программисты (вам понадобятся ловушки аудита уровня ядра и файловой системы)
  • Гуру IDS /IPS (если вы не любите блокировку поставщика)
  • 24/7/365 персонал для мониторинга предупреждений, генерируемых системами, разработанными специалистами. Эти люди не из дешевых, они принимают решение вытащить платежный плагин или сообщить об ошибке в используемых вами алгоритмах.

И снова, вы можете разгрузить все это третьей стороне, довольно дешево.

ответил Tim Post 16 J000000Friday10 2010, 09:56:29
22

Никогда не рекомендуется хранить данные кредитной карты когда-либо . Вы просто настраиваете себя на падение, любой приличный платежный шлюз позволит вам совершать повторяющиеся транзакции с токеном, где вам не нужно хранить данные кредитной карты.

ответил Whisk 16 J000000Friday10 2010, 13:53:16
13

Многие ответы, которые вы ищете, можно найти на веб-сайте Руководство по соблюдению конфиденциальности платежных карт . Особенно полезно их страница Ссылки .

Лучшим предложением было бы позволить третьей стороне обработать это хранилище.

ответил Bryson 16 J000000Friday10 2010, 09:57:13
8

Ваш сторонний торговец не включает в себя вариант для Непрерывных платежей по кредитным картам - большинство из основных здесь, в Великобритании, действительно делают (DataCash, RBS World Pay и т. д.).

В принципе, вы отправляете данные карты один раз им, с запросом для органа CCC (который, если я правильно помню, должен включать ожидаемое расписание и регулярную сумму), а затем вы получаете от них токен. Затем каждый месяц /независимо от того, что вы опросили торговца с помощью токена, и они обрабатывают последующие транзакции для вас - обычно также есть средства для их настройки для переменных, специальных запросов. Ключевым требованием на вашем конце является уведомление клиента (обычно не менее 10 дней) до принятия платежа.

Таким образом, вы не храните данные CC в любом месте, и все это обрабатывается людьми, которые выполнили требования.

Это похоже на выполнение предварительных авторизаций на карточке, поэтому вам никогда не придется хранить кредитную карту, просто маркер из Merchant, который вы можете вызвать по мере необходимости.

ответил Zhaph - Ben Duguid 16 J000000Friday10 2010, 17:38:49
4
  

Мы должны хранить их, и я должен убедиться, что хранилище в безопасности!

Один вопрос: почему?

Я только спрашиваю, потому что мне приходится иметь дело с PCI самостоятельно, и идти в ногу с ним - это боль. Несмотря на то, что моя ежедневная работа квалифицирует нас как самую низкую ступень для соответствия PCI, в ней все еще много. Шифрование, соображения с наименьшими привилегиями, безопасность серверной ОС, внутренняя сетевая безопасность, безопасность границ, сторонние аудиты ... это очень много, чтобы идти в ногу с. И это даже с нами, не сохраняя информацию о кредитной карте!

(Sidenote: если вы занимаетесь электронной коммерцией, вы должны быть совместимы с PCI, даже если вы не храните данные CC. Если вы сейчас не являетесь жалобой, считайте, что вам повезло, что она еще не укусила вас .)

Посмотрите, как ваш процессор обрабатывает его. Мы используем Authorize.net, и у них есть замечательный API, чтобы мы могли создавать собственный пользовательский интерфейс, но они заботятся о хранении и обработке фактических платежей. Если мы хотим настроить повторное выставление счетов, у них есть система для хранения информации. Честно говоря, я доверяю им больше, чем доверяю себе.

ответил dragonmantank 17 J000000Saturday10 2010, 08:20:48
4

Как говорили другие люди, вы ищете PCI-DSS. Также, как отмечали другие люди, соблюдение, вероятно, будет чрезмерно дорогостоящим для небольших сайтов.

  

Переход на PayPal для использования   подписки - это не вариант. Мы   должны их хранить, и мне нужно сделать   убедитесь, что хранилище безопасно!

Вы можете локально хранить идентификатор, который идентифицирует информацию о кредитной карте клиента на вашем платежном шлюзе. Я не уверен, что PayPal предлагает этот вариант, но есть другие платежные шлюзы, которые делают.

Также имейте в виду, что даже если вы не храните данные на кредитной карте на диске, вы по-прежнему можете использовать некоторые требования PCI-DSS. Самым простым способом быть совместимым является отсутствие каких-либо данных CC (например: путем POSTing формы платежа непосредственно на платежный шлюз).

ответил Thiago Figueiro 17 J000000Saturday10 2010, 12:50:44
3

Такие услуги, как http://chargify.com/, предлагают дополнительный слой поверх существующих платежных шлюзов. Они, вероятно, будут предлагать всевозможные способы хранения кредитных карт для вас, внедрять повторяющиеся платежи и даже создавать отчеты для вас.

Это позволит вам обойти всю ответственность и проблему соблюдения PCI. Одна из проблем, которую я испытываю, - это когда вы хотите изменить поставщиков, торговых счетов или шлюзов. Как вы берете с собой 10 000 клиентов? Они передают базу данных кредитных карт? Будет ли работа с конкурентом перемещать информацию о кредитной карте?

Я сомневаюсь. Скорее всего, вам придется попросить всех ваших клиентов повторно представить свою платежную информацию, если вы меняете поставщиков. Это один небольшой аргумент в пользу хранения информации о кредитной карте. Вероятно, стоит только того, если у вас будет много клиентов и большой доход. Мне было бы очень интересно услышать мысли других народов по этой конкретной загадке.

ответил zaqintosh 18 J000000Sunday10 2010, 02:39:08
2

Мне не хватает репутации для продолжения или комментариев, так что это происходит в новом ответе. Как указано zhaph , многие торговые компании предлагают повторяющуюся платежную систему, где они обрабатывают хранилище для вас.

Мы использовали Authorize.net для любых клиентов, не желающих использовать PayPal, и он работает достаточно хорошо (наша единственная большая жалоба заключается в том, что сбрасывается ключ API каждые 6 месяцев, и они не беспокоят вас, когда это произойдет , поэтому страница просто перестает работать). Их API основан на XML, и вы можете найти обертки для него практически на каждом языке.

ответил ChiperSoft 19 J000000Monday10 2010, 03:06:06
1

Обратите внимание, что если вы решите сохранить информацию о кредитной карте в своем собственном бб, вы ни в коем случае не должны хранить 3-значный код безопасности карты . Это строго запрещено ассоциациями карт.

Кстати, для совершения транзакции вам не нужен код безопасности карты. Это улучшает скорость обнаружения мошенничества, но вам не нужно, если у вас есть постоянные отношения с клиентом. (И даже если вы считаете, что вам это нужно, вы не можете его хранить. Неважно.)

Я также закрепил другие рекомендации, чтобы не хранить информацию. Customer Information Manager можно легко и дешево использовать. Для вас будет намного дешевле использовать его, вместо того чтобы нести расходы PCI, связанные с хранением информации на ваших собственных серверах.

ответил Larry K 10 Mayam11 2011, 03:21:14
1

Если вы собираетесь хранить кредитные карты в своей базе данных, шифрование является ключевым. Вы также захотите (или, возможно, понадобиться), чтобы сторонняя организация выполняла рутинное тестирование соответствия, чтобы ваши системы были в состоянии нюхать.

ответил Milner 16 J000000Friday10 2010, 16:40:27

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132