Kredi kartı detaylarını kaydetme

3. parti satıcımız aracılığıyla tekrarlayan faturalandırma için kredi kartı numaralarını kaydetmem gerekiyor.

Ayrıntıların depolanmasıyla ilgili uymam gereken standartlar var mı? Yıllardır kredi kartlarını kabul ediyoruz ancak onlarla iş yaptıktan sonra ayrıntılarını atardık. Müşterilerimiz her ay abonelik ücretlerini manuel olarak ödemek zorunda kalmamak için ayrıntılarını kaydetmemizi istedi.

Aboneliklerini kullanmak için PayPal'a geçmek bir seçenek değildir. Onları saklamalıyız ve deponun güvenli olduğundan emin olmalıyım!

Verilerimiz için MSSQL 2005'i kullanıyoruz ve her şey zaten SSL'di.

Sen (mektuba) izleyin ve tercihen gerekecektir aşan PCI DSS standardı. Bu, hiçbir şekilde başarması ve önemsizce alınması gereken kolay bir iştir.

Bunu sizin için halledebilecek ve faturalandırma sisteminize entegre edebilecek üçüncü taraf bir işlemci bulmanızı şiddetle tavsiye ederim. Sadece SSL'ye sahip olmamak ve veritabanındaki bilgileri şifrelemekten öteye gidemez. Ayrıca erişimi izlemeniz, izinsiz girişleri tespit etmeniz, ihlal durumunda yalnızca etkilenen kişileri uyaran (ve hangi verilerin tehlikeye girebileceğini belirleyebileceğiniz), vb.

Ardından, sunuculara, ağa vb. Fiziksel erişim vardır. Bu, fiziksel LAN'ın da korunduğu sunucularda paylaşılmayan kilitli bir dolap anlamına gelir. Uyumluluk ucuz ya da kolay olmayacak.

Gerçekten, bunu üçüncü bir tarafa devretmek için mümkün olan her türlü çabayı harcamak. Aylık olarak yüzbinlerce (işlem para birimini buraya yerleştirin) tutarındaki işlemlerden söz etmediğiniz sürece, sorumluluk sadece riske değmez. Bu durumda, tasarruf ettiğiniz ücretler, bilgiyi depolayan sistemleri uygulamak ve izlemek için gereken yeteneklerin ortaya çıkmasını haklı kılabilir. İhtiyacın olacak:

• Sistem programcıları (çekirdek ve dosya sistemi düzeyinde denetim kancalarına ihtiyacınız olacak)
• IDS / IPS guruları (satıcıya kilitlenmeyi sevmiyorsanız)
• Uzmanların tasarladığı sistemlerden kaynaklanan uyarıları izlemek için 7/24/365 personel. Bu insanlar ucuz değillerdir, faturalandırma fişini çekmeye ya da kullandığınız algoritmalarda bir hata bildirmeye karar verirler.

Ve sonra tekrar, hepsini ucuza bir üçüncü tarafa aktarabilirsiniz.

Bu kredi kartı bilgilerini saklamak için iyi bir fikir asla hiç . Sadece bir düşüşe hazırsınız, herhangi bir makul ödeme ağ geçidi, kredi kartı ayrıntılarını saklamak zorunda olmadığınız bir belirteçle tekrarlanan işlemler yapmanıza izin verecektir.

Aradığınız çoğu cevabı Ödeme Kartı Endüstri Uyum Rehberi web sitesinde bulabilirsiniz. Onların Linkler sayfası özellikle yararlıdır.

En iyi öneri, üçüncü bir tarafın bu depolamayı yönetmesine izin vermektir.

3. Parti Tüccarınız Sürekli Kredi Kartı Ödemeleri için bir seçenek içermiyor mu - burada İngiltere'deki en büyüklerin çoğu kesinlikle (DataCash, RBS World Pay, vb.).

Temel olarak, bir CCC otoritesine (talep edilen programı ve beklenen miktarı dahil etmem gerekiyorsa geri çağırmam gerekiyorsa) bir taleple birlikte Kart Ayrıntılarını bir kez gönderirsiniz ve ardından onlardan bir jeton alırsınız. Sonra her ay / tüccarı belirteci ile neye indirirseniz götürün ve sonraki işlemleri sizin için işleme koyarlar - genellikle bunları değişken, geçici istekler için ayarlamak için tesisler de vardır. Sonundaki kilit şart, ödemeyi yapmadan önce müşteriye (genellikle en az 10 gün) bildirmektir.

Bu şekilde, CC ayrıntılarını hiçbir yerde saklamıyorsunuzdur, bunların hepsi gereksinimleri karşılayan kişilerce ele alınmaktadır.

Bu, bir kartta Ön provizyonlar yapmaya benzer, bu yüzden hiçbir zaman tüccardan gerektiğinde arayabileceğiniz bir jeton olan kredi kartını saklamak zorunda kalmamalısınız.

Onları saklamalıyız ve deponun güvenli olduğundan emin olmalıyım!

Bir soru: Neden?

Bunu sadece soruyorum çünkü PCI ile kendim ilgilenmek zorundayım ve buna ayak uydurmak acı verici. Günlük çalışmam, bizi PCI uyumluluğunun en düşük basamağı olarak nitelendirmesine rağmen, buna devam eden çok şey var. Şifreleme, en az ayrıcalıkla ilgili konular, sunucu işletim sistemi güvenliği, dahili ağ güvenliği, sınır güvenliği, üçüncü taraf denetimleri ... bunlara yetişmek için çok fazla şey var. Ve bizde bile kredi kartı bilgilerini saklamayan!

(Sidenote: E-ticaret yapıyorsanız, CC verilerini saklamamış olsanız bile PCI uyumlu olmalısınız. Şikayetiniz olmadıysa, henüz sizi ısırmadığı için kendinizi şanslı sayın.)

İşlemcinizin halletmesini sağlayın. Authorize.net'i kullanıyoruz ve harika bir API'ye sahibiz, böylece kendi özel ön uçlarımızı oluşturabiliriz, ancak gerçek ödemeleri saklamaya ve ilgilenmeye özen gösterirler. Tekrarlayan bir fatura oluşturmak istiyorsak, bilgileri depolayacak bir sisteme sahipler. Açıkçası onlara kendime güvendiğimden daha çok güveniyorum.

Diğer kişilerin de söylediği gibi, PCI-DSS'yi arıyorsunuz. Ayrıca, diğer kişilerin de söylediği gibi, uyumun küçük siteler için son derece pahalı olması muhtemeldir.

Aboneliklerini kullanmak için PayPal'a geçmek bir seçenek değildir. Onları saklamalıyız ve deponun güvenli olduğundan emin olmalıyım!

Müşterinin kredi kartı bilgilerini tanımlayan bir kimliği yerel olarak ödeme ağ geçidinizde depolayabilirsiniz. PayPal'ın bu seçeneği sunduğundan emin değilim, ancak bunu yapan başka ödeme ağ geçitleri de var.

Ayrıca, kredi kartı verilerini diske kaydetmese bile, bazı PCI-DSS gereklilikleri kapsamında olduğunuzu unutmayın. Şu ana kadar uyumlu olmanın en kolay yolu, herhangi bir CC verisi almamaktır (yani: ödeme formunu doğrudan ödeme ağ geçidine POSTAlayarak).

Http://chargify.com/ gibi hizmetler , mevcut ödeme ağ geçitlerinin üstüne fazladan bir katman sunar. Sizin için kredi kartı saklamak, düzenli ödemeler uygulamak ve hatta sizin için raporlar oluşturmak için her türlü yolu sunacaklardır.

Bu, tüm sorumluluğu ve PCI uyumluluk sorununu atlamanıza izin verecektir. Endişelendiğim tek endişe, bir gün satıcıları, satıcı hesaplarını veya ağ geçitlerini değiştirmek istediğinizde. 10.000 müşterinizi nasıl yanınıza alıyorsunuz? Kredi kartı veri tabanını veriyorlar mı? Kredi kartı bilgilerinin taşınması için bir rakiple çalışma yapılacak mı?

Şüpheliyim. Muhtemelen, sağlayıcıları değiştirirseniz, tüm müşterilerinizden fatura bilgilerini tekrar göndermelerini istemeniz gerekir. Bu, kredi kartı bilgilerini kendiniz saklamak lehine küçük bir argümandır. Muhtemelen sadece çok fazla müşteriniz ve çok fazla geliriniz olacaksa buna değer. Diğer insanların düşüncelerini bu bilmece hakkında duymak çok merak ediyorum.

Henüz oy vermek ya da yorum yapmak için yeterli desteğim yok, bu yüzden bu yeni bir cevaba girecek. Zhaph'ın belirttiği gibi , birçok tüccar şirket sizin için depolamayı idare ettikleri düzenli bir ödeme sistemi sunar.

PayPal'ı kullanmak istemeyen müşteriler için Authorize.net'i kullanıyoruz ve gayet iyi çalışıyordu (tek büyük şikayetimiz API anahtarının her 6 ayda bir sıfırlanması ve bu durum olduğunda sizi bilgilendirmek için zahmet etmemeleri. sayfa sadece çalışmayı durdurur). API'leri XML tabanlıdır ve paketleyicileri hemen hemen her dilde bulabilirsiniz.

Kredi kartı bilgilerini kendi db'nizde saklamaya karar verirseniz, hiçbir koşulda 3 basamaklı kart güvenlik kodunu saklamamanız gerektiğini unutmayın . Bunu yapmak, kart dernekleri tarafından kesinlikle yasaktır.

BTW, işlem yapmak için kart güvenlik koduna ihtiyacınız yoktur. Sahtekarlık tespit oranını iyileştirir, ancak müşteriyle devam eden bir ilişkiniz varsa buna ihtiyacınız olmamalıdır. (Ve ihtiyacın olduğunu düşünüyorsan bile, saklayamazsın. Ne olursa olsun.)

Ben de bilgiyi saklamamak için diğer önerileri ikinci. Authorize.Net'in Müşteri Bilgi Yöneticisi , kullanımı kolay ve ucuzdur. Bilgiyi kendi sunucularınızda saklamak için gereken PCI maliyetlerini kullanmak yerine, kullanmanız çok daha ucuz olacaktır.

Kredi kartlarını veritabanınızda saklayacaksanız, şifreleme anahtarıdır. Ayrıca, sistemlerinizin karışmasını sağlamak için üçüncü bir tarafın rutin uyumluluk testi yapmasını isteyebilirsiniz (veya belki de buna ihtiyaç duyabilirsiniz).