أحتاج إلى تخزين أرقام بطاقات الائتمان للفواتير المتكررة من خلال التاجر التابع لنا.
هل هناك أي معايير أحتاج إلى الالتزام بها فيما يتعلق بتخزين التفاصيل؟ لقد تم قبول بطاقات الائتمان لسنوات لكننا اعتدنا على تجاهل تفاصيلها بمجرد انتهينا منها. طلب عملاؤنا أن نقوم بتخزين بياناتهم حتى لا يضطروا إلى دفع رسوم اشتراكهم يدويًا كل شهر.
الانتقال إلى Paypal للاستفادة من اشتراكاتهم ليس خيارًا. يتعين علينا تخزينها ، ولست بحاجة للتأكد من أن التخزين آمن!
نحن نستخدم MSSQL 2005 لبياناتنا ، وكل شيء بالفعل هو SSL.
ستحتاج إلى اتباع (للحرف) ويفضل تجاوز PCI DSS القياسي. هذه ليست بأي حال مهمة سهلة لإنجازها ولا ينبغي أن تؤخذ على نحو تافه.
أنا بشدة أوصي بأن تجد معالجًا تابعًا لجهة خارجية يمكنه التعامل مع هذا الأمر لك وإدماجه في نظام الفواتير الخاص بك. يتعدى مجرد وجود طبقة مآخذ توصيل آمنة (SSL) وتشفير المعلومات في قاعدة البيانات. يجب عليك أيضًا مراقبة الوصول ، والكشف عن الاختراقات ، وأنظمة معمول بها يمكنها فقط إخطار الأشخاص المتأثرين في حالة حدوث خرق (وتحديد البيانات التي ربما تكون قد تم اختراقها) ، إلخ.
ثم ، هناك وصول فعلي إلى الخوادم والشبكة ، إلخ. وهذا يعني خزانة مقفلة لا تتم مشاركتها على الخوادم التي تمتلكها حيث تكون الشبكة المحلية الفعلية محمية أيضًا. لن يكون الامتثال رخيصًا أو سهلاً.
حقا ، بذل كل جهد ممكن لتفريغ هذا إلى طرف ثالث. المسؤولية وحدها لا تستحق المخاطرة ، ما لم تتحدث عن المعاملات التي تصل إلى مئات الآلاف من (أدخل عملتك هنا) شهريًا. في هذه الحالة ، قد تبرر الرسوم التي توفرها جلب المواهب اللازمة لتنفيذ ومراقبة الأنظمة التي تخزن المعلومات. انك سوف تحتاج:
ثم مرة أخرى ، يمكنك تفريغ كل هذا إلى طرف ثالث ، بثمن بخس.
انها ليست فكرة جيدة لتخزين تفاصيل بطاقة الائتمان من أي وقت مضى. أنت فقط تجهز نفسك للسقوط ، ستسمح لك أي بوابة دفع مناسبة بإجراء معاملات متكررة باستخدام رمز مميز حيث لا يتعين عليك تخزين تفاصيل بطاقة الائتمان.
يمكن العثور على العديد من الإجابات التي تبحث عنها في دليل الامتثال لبطاقة الدفع الموقع. الروابط الصفحة مفيدة بشكل خاص.
أفضل اقتراح هو السماح لطرف ثالث بمعالجة هذا التخزين.
هل لا يشمل التاجر الخاص بك لدى الطرف الثالث خيار مدفوعات بطاقات الائتمان المستمرة - ومعظمها بالتأكيد في المملكة المتحدة (DataCash ، RBS World Pay ، إلخ).
في الأساس ، تقوم بتقديم تفاصيل البطاقة مرة واحدة إليهم ، مع طلب الحصول على سلطة CCC (والتي ، إذا كنت أتذكر بشكل صحيح ، تحتاج إلى تضمين الجدول المتوقع والمبلغ العادي) ، ثم تتلقى رمزًا مميزًا مرة أخرى. ثم كل شهر/أيًا كان ما تقوم باستطلاع التاجر باستخدام الرمز المميز ، ويقومون بمعالجة المعاملات اللاحقة لك - وهناك أيضًا تسهيلات لإعدادها للطلبات المتغيرة والمخصصة. الشرط الأساسي في النهاية هو إخطار العميل (عادة ما لا يقل عن 10 أيام) قبل الدفع.
وبهذه الطريقة ، لا تقوم بتخزين تفاصيل CC في أي مكان ، كل ذلك يتم معالجته بواسطة أشخاص استوفوا المتطلبات.
يشبه ذلك إجراء التفويضات المسبقة على البطاقة ، لذلك لا يجب عليك أبدًا تخزين بطاقة الائتمان ، مجرد رمز مميز من التاجر يمكنك الاتصال به عند الحاجة.
يتعين علينا تخزينها ، ولست بحاجة للتأكد من أن التخزين آمن!
سؤال واحد: لماذا؟
أنا فقط أسأل ذلك لأن عليّ التعامل مع PCI بنفسي ، ومواكبة ذلك هو الألم. على الرغم من أن عملي اليومي يؤهلنا كأدنى درجات للامتثال PCI ، لا يزال هناك الكثير الذي يذهب إليه. التشفير وأقل الاعتبارات المتعلقة بالامتيازات وأمن نظام تشغيل الخادم وأمن الشبكات الداخلية وأمن الحدود ومراجعات الطرف الثالث ... كل ذلك هو الكثير لمواكبة ذلك. وهذا حتى مع عدم تخزين معلومات بطاقة الائتمان الخاصة بنا!
(Sidenote: إذا كنت تقوم بالتجارة الإلكترونية ، فيجب أن تكون متوافقًا مع PCI حتى لو لم تقم بتخزين بيانات CC. إذا لم تكن مقدم الشكوى الآن ، فاعتبر نفسك محظوظًا لأنه لم يضر بك حتى الآن.)
النظر في وجود المعالج الخاص بك التعامل معها. نحن نستخدم Authorize.net ولديهم واجهة برمجة تطبيقات رائعة حتى نتمكن من بناء الواجهة الأمامية المخصصة الخاصة بنا ، لكنهم يهتمون بتخزين المدفوعات الفعلية والتعامل معها. إذا أردنا إعداد الفواتير المتكررة ، فلديهم نظام لتخزين المعلومات. بصراحة ، أنا أثق بهم أكثر مما أثق بنفسي.
كما ذكر الأشخاص الآخرون ، فأنت تبحث عن PCI-DSS. كما ذكر الأشخاص الآخرون ، من المرجح أن يكون الالتزام باهظ التكلفة للمواقع الصغيرة.
الانتقال إلى Paypal للاستفادة من اشتراكاتهم ليس خيارًا. يتعين علينا تخزينها ، ولست بحاجة للتأكد من أن التخزين آمن!
يمكنك تخزين معرّف محليًا يحدد معلومات بطاقة ائتمان العميل على بوابة الدفع الخاصة بك. لست متأكدًا من أن Paypal تقدم هذا الخيار ولكن هناك بوابات دفع أخرى تعمل.
ضع في اعتبارك أيضًا أنه حتى في حالة عدم تخزين بيانات بطاقة الائتمان على القرص ، فلا تزال في نطاق بعض متطلبات PCI-DSS. إن أسهل طريقة للامتثال هي إلى حد بعيد عدم أخذ أي بيانات CC (أي: عن طريق إرسال نموذج الدفع مباشرة إلى بوابة الدفع).
تقدم خدمات مثل http://chargify.com/ طبقة إضافية على بوابات الدفع الحالية. من المحتمل أن يقدموا جميع أنواع الطرق لتخزين بطاقات الائتمان الخاصة بك ، وتنفيذ المدفوعات المتكررة ، وحتى إنشاء تقارير لك.
سيتيح لك ذلك التحايل على كامل مشكلة الالتزام و PCI. أحد الشواغل التي لدي ، هو إذا كنت ترغب في يوم ما في تغيير البائعين أو حسابات التجار أو العبارات. كيف تأخذ زبائنك الـ 10،000 معك؟ هل يقومون بتسليم قاعدة بيانات لبطاقات الائتمان؟ هل ستعمل مع منافس لنقل معلومات بطاقة الائتمان؟
اشك به. من المحتمل أن تطلب من جميع عملائك إعادة إرسال معلومات الفواتير الخاصة بهم إذا قمت بتغيير مزودي الخدمة. هذه حجة صغيرة لصالح تخزين معلومات بطاقة الائتمان بنفسك. ربما يستحق كل هذا العناء فقط إذا كنت ستحصل على الكثير من العملاء والكثير من الإيرادات. سأكون فضوليًا جدًا لسماع أفكار الشعوب الأخرى حول هذا اللغز المعين.
ليس لدي ما يكفي من الممثلين للتصويت أو التعليق حتى الآن ، لذلك فإن هذا يحدث في إجابة جديدة. كما أشار zhaph ، تقدم العديد من الشركات التجارية نظام دفع متكرر حيث تتعامل مع التخزين لك.
نحن نستخدم Authorize.net لأي عملاء غير راغبين في استخدام Paypal ، وهو يعمل بشكل جيد إلى حد ما (الشكوى الكبيرة الوحيدة لدينا هي أن مفتاح API يعاد ضبطه كل 6 أشهر ، ولا يكلف نفسه عناء إخطارك عندما يحدث ذلك ، لذلك الصفحة فقط يتوقف عن العمل). واجهة برمجة التطبيقات (API) الخاصة بهم تستند إلى XML ويمكنك العثور على أغلفة لها بكل لغة تقريبًا.
لاحظ أنه إذا انتهى بك الأمر إلى أن تقرر تخزين معلومات بطاقة الائتمان في ديسيبل الخاص بك ، فلا ينبغي لك ، تحت أي ظرف من الظروف ، تخزين رمز أمان البطاقة المكون من 3 أرقام . القيام بذلك ممنوع منعا باتا من قبل الجمعيات البطاقة.
راجع للشغل ، لا تحتاج إلى رمز أمان البطاقة من أجل إجراء معاملة. يعمل ذلك على تحسين معدل اكتشاف الاحتيال ، ولكن يجب ألا تحتاج إليه إذا كان لديك علاقة مستمرة مع العميل. (وحتى لو كنت تعتقد أنك في حاجة إليها ، لا يمكنك تخزينها. بغض النظر عن ما.)
أنا أيضا الثانية التوصيات الأخرى لعدم تخزين المعلومات. Authorize.Net's مدير معلومات العملاء سهل الاستخدام ورخيص. سيكون أرخص بكثير بالنسبة لك لاستخدامها بدلاً من تحمل تكاليف PCI الملازمة لتخزين المعلومات على الخوادم الخاصة بك.
إذا كنت ستقوم بتخزين بطاقات الائتمان في قاعدة البيانات الخاصة بك ، فإن التشفير هو المفتاح. ستحتاج أيضًا (أو ربما تحتاج) إلى إجراء اختبار توافق روتيني لجهة خارجية لضمان أنظمتك تصل إلى حد ما.