Ödeme İşlemcileri - Web sitemde kredi kartı kabul etmek istersem ne bilmem gerekir? [kapalı]

Bu soru farklı ödeme işlemcileri ve bunların maliyeti hakkında konuşuyor, ancak kredi kartı ödemelerini kabul etmek istersem ne yapmam gerekiyor?

Müşteriler için kredi kartı numaralarını saklamam gerektiğini varsayalım , böylece ağır kaldırma için kredi kartı işlemcisine güvenmenin bariz çözümü mevcut değildir.

Görünüşe göre kredi kartı bilgilerinin saklanması için standart olan PCI Veri Güvenliği , bir takım genel gereksinimlere sahiptir, ancak bunları nasıl uygular ?

Ve kendi en iyi uygulamalarına sahip Visa gibi satıcılar ne olacak ?

Makineye anahtarlık erişimine ihtiyacım var mı? Peki binadaki bilgisayar korsanlarından fiziksel olarak korumaya ne dersiniz? Ya da birisi üzerinde sql sunucusu veri dosyaları ile yedek dosyaları ellerini varsa bile?

Yedeklemeler ne olacak? Bu verilerin başka fiziksel kopyaları var mı?

İpucu: Bir satıcı hesabı alırsanız, kademeli fiyatlandırma yerine sizden "değişim artı" talep ettikleri konusunda pazarlık etmelisiniz. Katmanlı fiyatlandırma ile, ne tür Visa / MC kullanıldığına bağlı olarak sizden farklı ücretler alırlar - yani. büyük ödüller eklenmiş kartlar için sizden daha fazla ücret alırlar. Değişim artı faturalandırma, işlemciye yalnızca Visa / MC'nin ücretlendirdiği ücretin yanı sıra sabit bir ücret ödemeniz anlamına gelir. (Amex ve Discover kendi ücretlerini doğrudan satıcılar için ücretlendirir, bu nedenle bu kartlar için geçerli değildir. Amex ücretlerini% 3 aralığında bulacaksınız ve Discover% 1 kadar düşük olabilir. Visa / MC % 2 aralığı). Bu hizmetin sizin için pazarlığı yapması gerekiyor (kullanmadım, bu bir reklam değil ve web sitesine bağlı değilim,

Bu blog gönderisi, (özellikle İngiltere için) kredi kartlarının kullanımının tam bir özetini verir .

Belki de soruyu yanlış ifade ettim, ama bunun gibi ipuçları arıyorum:

1. Fiziksel kutuya ek bir şifre katmanı eklemek için SecurID veya eToken kullanın .
2. Kutunun fiziksel kilit veya anahtar kodu kombinasyonu olan bir odada olduğundan emin olun.

Bu süreci uzun zaman önce çalıştığım bir şirketle geçirdim ve kısa süre sonra kendi işimle tekrar devam etmeyi planlıyorum. Ağ teknik bilginiz varsa, o kadar da kötü değil. Aksi takdirde Paypal veya başka bir hizmet türü kullanarak daha iyi olacaksınız.

İşlem, bir satıcı hesabı kurulumu yapılarak ve banka hesabınıza bağlanarak başlar . Bankanızla görüşmek isteyebilirsiniz, çünkü büyük bankaların çoğu tüccar hizmetleri sunmaktadır. Anlaşmalar alabilirsiniz, çünkü zaten onların müşterisisiniz, ancak değilse, alışveriş yapabilirsiniz. Discover veya American Express'i kabul etmeyi planlıyorsanız, bunlar ayrı olacaktır, çünkü kartlar için satıcı hizmetleri sağlarlar, bunun etrafında dolaşmazlar. Başka özel durumlar da var. Bu bir başvuru sürecidir, hazırlanın.

Ardından , kredi kartı bilgileri genel ağlar üzerinden iletildiğinde iletişiminizi güvence altına almak için kullanabileceğiniz bir SSL sertifikası satın almak isteyeceksiniz . Çok sayıda satıcı var, ama benim kuralım, bir şekilde bir marka adı olan birini seçmek. Ne kadar iyi bilinirse, müşteriniz muhtemelen onları daha iyi duymuş demektir.

Ardından , sitenizle kullanılacak bir ödeme ağ geçidi bulmak isteyeceksiniz . Bu, ne kadar büyük olduğunuza bağlı olarak isteğe bağlı olabilir, ancak çoğu zaman olmayacaktır. Birine ihtiyacınız olacak. Ödeme ağ geçidi satıcıları, iletişim kuracağınız İnternet Ağ Geçidi API'sı ile konuşmak için bir yol sağlar. Çoğu satıcı API'leriyle HTTP veya TCP / IP iletişimi sağlar. Kredi kartı bilgilerini sizin adınıza işleme koyacaklardır. İki tedarikçi Authorize.Net ve PayFlow Pro'dur . Aşağıda verdiğim bağlantı diğer satıcılar hakkında daha fazla bilgi içeriyor.

Şimdi ne olacak? Yeni başlayanlar için, işlemlerin iletilmesi için uygulamanızın nelere uyması gerektiğine dair yönergeler vardır. Her şeyi ayarlama işlemi sırasında, birisi sitenize veya uygulamanıza bakacak ve SSL kullanmak gibi kurallara uyduğunuzdan ve kullanıcının size hangi bilgilerin verildiğine ilişkin kullanım koşullarına ve politika belgelerine sahip olduğunuzdan emin olacaktır. için. Bunu başka bir siteden çalmayın. Kendinize gelin, gerekirse bir avukat tutun. Bunların çoğu, Michael'ın sorusunda sağladığı PCI Veri Güvenliği bağlantısı altına girer.

Kredi kartı numaralarını saklamayı planlıyorsanız, bilgileri korumak için dahili olarak bazı güvenlik önlemleri almaya hazır olmalısınız. Bilgilerin saklandığı sunucunun yalnızca erişmesi gereken üyeler tarafından erişilebilir olduğundan emin olun. Her iyi güvenlik gibi, katmanlar halinde işler yaparsınız. Ne kadar çok katman yerleştirirseniz o kadar iyidir. İsterseniz SecureID veya eToken gibi anahtarlık tipi güvenliği kullanabilirsinizsunucunun bulunduğu odayı korumak için. Anahtarlık yolunu karşılayamıyorsanız, iki anahtar yöntemini kullanın. Odaya erişimi olan bir kişinin zaten taşıdıkları bir anahtarla birlikte gelen bir anahtarın oturumunu kapatmasına izin verin. Odaya erişmek için her iki tuşa da ihtiyaç duyacaklar. Ardından sunucuya olan iletişimi ilkelerle korursunuz. Benim ilkem, ağ üzerinden iletişim kuran tek şeyin uygulama olması ve bilgilerin şifrelenmiş olmasıdır. Sunucuya başka bir biçimde erişilemez. Yedeklemeler için truecrypt kullanıyorumyedeklerin kaydedileceği birimleri şifrelemek için. Veriler kaldırıldığında veya başka bir yerde saklandığında, verilerin bulunduğu birimi şifrelemek için truecrypt'i tekrar kullanırsınız. Temel olarak verilerin olduğu her yerde şifrelenmesi gerekir. Verilere ulaşmak için tüm süreçlerin denetim izleri taşıdığından emin olun. sunucu odasına erişmek için günlükleri kullanın, mümkünse kameraları kullanın, vb ... Başka bir önlem de veritabanındaki kredi kartı bilgilerini şifrelemektir. Bu, verilerin yalnızca uygulamanızda görüntülenebilmesini sağlar; burada bilgileri kimlerin görebildiğini uygulayabilirsiniz.

Güvenlik duvarım için pfsense kullanıyorum . Kompakt bir flash karttan çalıştırıyorum ve iki sunucum var. Birincisi artıklık için başarısızlıktır.

Bu blog gönderisini Rick Strahl tarafından e-ticaret yapmayı ve bir web uygulaması aracılığıyla kredi kartlarını kabul etmenin ne anlama geldiğini anlamamıza yardımcı olan buldum .

Bunun uzun bir cevap olduğu ortaya çıktı. Umarım bu ipuçları yardımcı olur.

Kendinize şu soruyu sorun: Kredi kartı numaralarını neden ilk etapta saklamak istiyorsunuz ? Muhtemelen bilmiyorsun. Eğer Aslında, bunu saklamak ve bir çalıntı olması yönetmek, bazı ciddi sorumluluk bakıyor olabilir.

(İşlemler çevrimdışı işlendiğinden beri) kredi kartı numaralarını saklayan bir uygulama yazdım. İşte bunu yapmanın iyi bir yolu:

• SSL sertifikası alın!
• Kullanıcıdan CC # almak için bir form oluşturun.
• CC # 'nin bir kısmını (hepsini değil!) Şifreleyin ve veritabanınızda saklayın. (Orta 8 rakamı öneririm.) Güçlü bir şifreleme yöntemi ve gizli bir anahtar kullanın.
• CC # 'ın geri kalanını, işlemlerinizi (muhtemelen kendiniz) işleyecek kişinin kimliğiyle postalayan kişiye gönderin.
• Daha sonra oturum açtığınızda, kimlik numarasını ve CC #'ın postalanan kısmını yazacaksınız. Sisteminiz diğer bölümün şifresini çözebilir ve işlemi tamamlamak için tam numarayı almak üzere yeniden birleştirebilir.
• Son olarak, çevrimiçi kaydı silin. Paranoyak çözümüm, silinmeden önce rasgele verilerle kaydın üzerine yazmak ve silme işlemini geri almak olasılığını ortadan kaldırmaktı.

Bu çok fazla iş gibi geliyor, ancak hiçbir zaman tam bir CC # kaydetmeden, bir hacker'ın web sunucunuzda değerli bir şey bulmasını son derece zorlaştırıyorsunuz. Güven bana, iç huzuruna değer.

PCI 1.2 belgesi yeni çıktı. Gereksinimlerle birlikte PCI uyumluluğunun nasıl uygulanacağına ilişkin bir işlem sağlar. Tam dokümanı burada bulabilirsiniz:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

Uzun lafın kısası, hangi bilgilerin CC bilgilerinin (genellikle DB sunucu (lar)) depolanmasına ayrılacağı için ayrı bir ağ segmenti oluşturun. Verileri olabildiğince izole edin ve yalnızca verilere erişmek için gereken minimum erişimin mevcut olduğundan emin olun. Kaydettiğinizde şifreleyin. PAN'leri asla saklamayın. Eski verileri temizleyin ve şifreleme anahtarlarınızı döndürün.

Örnek Yapılmayacaklar:

• Veritabanındaki genel bilgileri arayabilecek hesabın CC bilgilerine bakmasına izin vermeyin.
• CC veritabanınızı web sunucunuzla aynı fiziksel sunucuda tutmayın.
• CC veritabanı ağ segmentinize harici (İnternet) trafiğe izin vermeyin.

Örnek Dos:

• CC bilgilerini sorgulamak için ayrı bir Veritabanı hesabı kullanın.
• Güvenlik duvarı / erişim listeleri aracılığıyla CC veritabanı sunucusuna gereken trafiğin dışındaki tüm trafiğe izin verme
• CC sunucusuna erişimi sınırlı sayıda yetkili kullanıcıyla kısıtlayın.

Düşünmek isteyebileceğiniz teknik olmayan bir yorum eklemek istiyorum

Müşterilerimin birçoğu, orta derecede büyük mağazaları olan bir çift de dahil olmak üzere e-ticaret siteleri işletiyor. Her ikisi de, kesinlikle bir ödeme ağ geçidi de seçemezken, cc numarasını alırlar, cc numarasını alırlar, geçici olarak çevrimiçi olarak şifrelenir ve manuel olarak işlerler.

Sahteciliğin yüksek olması ve manuel işlem nedeniyle bir siparişi doldurmadan önce ek kontroller yapmalarını sağlarlar. Bana tüm işlemlerinin% 20'sinden biraz daha fazlasını reddettikleri söylendi - elle işlem yapmak kesinlikle fazladan zaman alıyor ve bir durumda işlemleri işlemekten başka bir şey yapmayan bir çalışanı var, ancak maaşını ödemenin maliyeti görünüşe göre daha az Çevrimiçi bir ağ geçidi üzerinden cc numaralarını geçtiler.

Bu müşterilerin her ikisi de satış değeri olan fiziksel mallar teslim ediyor, bu nedenle özellikle maruz kalıyor ve hileli bir satışın kilometre değerinizde herhangi bir gerçek kayıpla sonuçlanmayacağı yazılım gibi öğeler için, ancak çevrimiçi bir ağ geçidinin teknik yönlerinin üzerinde düşünmeye değer eğer bunu uygulamak gerçekten istediğiniz şeyse.

DÜZENLEME: Ve bu yanıtı oluşturduğumdan beri, uyarıcı bir hikaye eklemek ve bunun iyi bir fikir olduğu zamanın geçtiğini söylemek istiyorum.

Neden? Çünkü benzer bir yaklaşımı benimseyen başka bir temas daha biliyorum. Kart bilgileri şifreli olarak saklandı, web sitesine SSL ile erişildi ve numaralar işlendikten hemen sonra silindi. Sence güvenli mi?

Ağlarındaki hiç bir makineye anahtar kaydı yapan Truva Atı bulaşmadı. Sonuç olarak, birkaç puanlı kredi kartı sahtekarlığının kaynağı olarak tanımlandılar ve sonuç olarak büyük bir para cezasına çarptırıldılar.

Bu I sonucunda artık olarak asla sap kredi kartları kendileri herkese tavsiye. Ödeme ağ geçitleri o zamandan beri çok daha rekabetçi ve uygun maliyetli hale geldi ve sahtekarlık önlemleri iyileşti. Risk artık buna değmez.

Bu cevabı silebilirdim, ama en iyisi uyarıcı bir öykü olarak düzenlenmiş olarak bırakmak en iyisidir.

Tarayıcıdan sunucuya bir kart numarası göndermek için SSL kullanmanın, kartınızı bir restorandaki kasiyere verdiğinizde kredi kartı numaranızı baş parmağınızla örtmek gibi olduğunu unutmayın: baş parmağınız (SSL) restorandaki diğer müşterileri engeller (Net) kartın görünmesini engeller, ancak kart kasiyerin (web sunucusu) eline geçtiğinde kart artık SSL değişimi tarafından korunmaz ve kasiyer bu kartla herhangi bir şey yapıyor olabilir. Kayıtlı bir kart numarasına erişim sadece web sunucusundaki güvenlik tarafından durdurulabilir. Yani, ağdaki çoğu kart hırsızlığı iletim sırasında yapılmaz, zayıf sunucu güvenliğini kırıp veritabanlarını çalarak yapılır.

Neden PCI uyumluluğu ile uğraştınız? En iyi ihtimalle, işlem ücretlerinizden yüzde bir kısmını alırsınız. Bu, hem geliştirme aşamasında hem de zaman içinde en son gereksinimlere ayak uydurmak için yapmak istediğiniz şey olduğundan emin olmanız gereken durumlardan biridir.

Bizim durumumuzda, bir abonelik anlayışlı ağ geçidi kullanmak ve bunu bir satıcı hesabı ile eşleştirmek en mantıklıydı. Abonelikten tasarruf sağlayan ağ geçidi, tüm PCI uyumluluğunu atlamanızı ve işlemi uygun şekilde işlemekten başka bir şey yapmanıza izin vermez.

TrustCommerce'i ağ geçidimiz olarak kullanıyoruz ve hizmetlerinden / fiyatlandırmasından memnunuz. Entegrasyonu oldukça kolaylaştıran bir dizi dil için kodları var.

PCI için gereken ekstra iş ve bütçeyi ele aldığınızdan emin olun. PCI, büyük dış denetim ücretleri ve dahili çaba / destek gerektirebilir. Ayrıca, tek taraflı olarak alınabilecek para cezalarının / cezalarının, genellikle 'suç' ölçeğiyle orantısız bir şekilde farkında olun.

Tüm süreçte çok şey var. Bunu yapmanın en kolay yolu, paypal benzeri hizmetleri kullanmaktır, böylece herhangi bir kredi kartı verisini asla işlemezsiniz. Bunun dışında, web sitenizde kredi kartı hizmetleri sunmak için onaylanmak için geçmesi gereken biraz şey var. Muhtemelen bankanızla ve işlemin kurulumunda size yardımcı olması için satıcı kimliğinizi veren kişilerle konuşmalısınız.

Diğerlerinin de belirttiği gibi, bu alana girmenin en kolay yolu Paypal , Google checkout veya Nochex kullanmaktır . Ancak önemli miktarda iş yapmak istiyorsanız, WorldPay , NetBanx (İngiltere) veya Neteller (ABD) gibi daha üst düzey site entegrasyon hizmetlerine "yükseltme" yapmak isteyebilirsiniz . Tüm bu hizmetlerin kurulumu oldukça kolaydır. Netbanx'ın Intershop gibi hazır alışveriş sepeti çözümlerine uygun entegrasyon sunduğunu biliyorum(çünkü bazılarını yazdım). Bunun ötesinde, bankacılık sistemleriyle (ve APAX sistemleriyle) doğrudan entegrasyona bakıyorsunuz, ancak bu zor ve bu noktada Kredi kartı şirketlerine de kredi kartı numaralarını güvenli bir şekilde kullandığınızı kanıtlamanız gerekiyor (muhtemelen ayda 100 bin dolar değerinde para almıyorsunuz).

1'den sonuncuya kadar olan maliyet / faydalar, erken işlemlerin her işlem için oldukça yüksek taşıma ücretleri ödemeniz için çok daha kolay (daha hızlı / daha ucuz) ayarlanmasıdır. daha sonra kurmak çok daha pahalı ama uzun vadede daha az ödersiniz.

Özel olmayan çözümlerin çoğunun diğer avantajı, şifreli kredi kartı numaralarını güvende tutmanıza gerek olmamasıdır. Bu başkasının sorunu :-)