it-swarm.asia

تخزين تفاصيل بطاقة الائتمان

أحتاج إلى تخزين أرقام بطاقات الائتمان للفواتير المتكررة من خلال التاجر التابع لنا.

هل هناك أي معايير أحتاج إلى الالتزام بها فيما يتعلق بتخزين التفاصيل؟ لقد تم قبول بطاقات الائتمان لسنوات لكننا اعتدنا على تجاهل تفاصيلها بمجرد انتهينا منها. طلب عملاؤنا أن نقوم بتخزين بياناتهم حتى لا يضطروا إلى دفع رسوم اشتراكهم يدويًا كل شهر.

الانتقال إلى Paypal للاستفادة من اشتراكاتهم ليس خيارًا. يتعين علينا تخزينها ، ولست بحاجة للتأكد من أن التخزين آمن!

نحن نستخدم MSSQL 2005 لبياناتنا ، وكل شيء بالفعل هو SSL.

59
Mark Henderson

ستحتاج إلى اتباع (للحرف) ويفضل تجاوز PCI DSS القياسي. هذه ليست بأي حال مهمة سهلة لإنجازها ولا ينبغي أن تؤخذ على نحو تافه.

أنا بشدة أوصي بأن تجد معالجًا تابعًا لجهة خارجية يمكنه التعامل مع هذا الأمر لك وإدماجه في نظام الفواتير الخاص بك. يتعدى مجرد وجود طبقة مآخذ توصيل آمنة (SSL) وتشفير المعلومات في قاعدة البيانات. يجب عليك أيضًا مراقبة الوصول ، والكشف عن الاختراقات ، وأنظمة معمول بها يمكنها فقط إخطار الأشخاص المتأثرين في حالة حدوث خرق (وتحديد البيانات التي ربما تكون قد تم اختراقها) ، إلخ.

ثم ، هناك وصول فعلي إلى الخوادم والشبكة ، إلخ. وهذا يعني خزانة مقفلة لا تتم مشاركتها على الخوادم التي تمتلكها حيث تكون الشبكة المحلية الفعلية محمية أيضًا. لن يكون الامتثال رخيصًا أو سهلاً.

حقا ، بذل كل جهد ممكن لتفريغ هذا إلى طرف ثالث. المسؤولية وحدها لا تستحق المخاطرة ، ما لم تتحدث عن المعاملات التي تصل إلى مئات الآلاف من (أدخل عملتك هنا) شهريًا. في هذه الحالة ، قد تبرر الرسوم التي توفرها جلب المواهب اللازمة لتنفيذ ومراقبة الأنظمة التي تخزن المعلومات. انك سوف تحتاج:

  • مبرمجو الأنظمة (ستحتاج إلى خطاطيف تدوين مستوى نظام الملفات و kernel)
  • معلمو IDS/IPS (إلا إذا كنت تحب قفل البائع)
  • 24/7/365 من الموظفين لمراقبة التنبيهات الناتجة عن النظم التي صممها الخبراء. هؤلاء الأشخاص ليسوا رخيصة ، فهم يتخذون قرارًا بسحب سداد الفواتير أو الإبلاغ عن خطأ في الخوارزميات التي تستخدمها.

ثم مرة أخرى ، يمكنك تفريغ كل هذا إلى طرف ثالث ، بثمن بخس.

84
Tim Post

انها ليست فكرة جيدة لتخزين تفاصيل بطاقة الائتمان من أي وقت مضى. أنت فقط تجهز نفسك للسقوط ، ستسمح لك أي بوابة دفع مناسبة بإجراء معاملات متكررة باستخدام رمز مميز حيث لا يتعين عليك تخزين تفاصيل بطاقة الائتمان.

22
Whisk

يمكن العثور على العديد من الإجابات التي تبحث عنها في دليل الامتثال لبطاقة الدفع الموقع. الروابط الصفحة مفيدة بشكل خاص.

أفضل اقتراح هو السماح لطرف ثالث بمعالجة هذا التخزين.

13
Bryson

هل لا يشمل التاجر الخاص بك لدى الطرف الثالث خيار مدفوعات بطاقات الائتمان المستمرة - ومعظمها بالتأكيد في المملكة المتحدة (DataCash ، RBS World Pay ، إلخ).

في الأساس ، تقوم بتقديم تفاصيل البطاقة مرة واحدة إليهم ، مع طلب الحصول على سلطة CCC (والتي ، إذا كنت أتذكر بشكل صحيح ، تحتاج إلى تضمين الجدول المتوقع والمبلغ العادي) ، ثم تتلقى رمزًا مميزًا مرة أخرى. ثم كل شهر/أيًا كان ما تقوم باستطلاع التاجر باستخدام الرمز المميز ، ويقومون بمعالجة المعاملات اللاحقة لك - وهناك أيضًا تسهيلات لإعدادها للطلبات المتغيرة والمخصصة. الشرط الأساسي في النهاية هو إخطار العميل (عادة ما لا يقل عن 10 أيام) قبل الدفع.

وبهذه الطريقة ، لا تقوم بتخزين تفاصيل CC في أي مكان ، كل ذلك يتم معالجته بواسطة أشخاص استوفوا المتطلبات.

يشبه ذلك إجراء التفويضات المسبقة على البطاقة ، لذلك لا يجب عليك أبدًا تخزين بطاقة الائتمان ، مجرد رمز مميز من التاجر يمكنك الاتصال به عند الحاجة.

8
Zhaph - Ben Duguid

يتعين علينا تخزينها ، ولست بحاجة للتأكد من أن التخزين آمن!

سؤال واحد: لماذا؟

أنا فقط أسأل ذلك لأن عليّ التعامل مع PCI بنفسي ، ومواكبة ذلك هو الألم. على الرغم من أن عملي اليومي يؤهلنا كأدنى درجات للامتثال PCI ، لا يزال هناك الكثير الذي يذهب إليه. التشفير وأقل الاعتبارات المتعلقة بالامتيازات وأمن نظام تشغيل الخادم وأمن الشبكات الداخلية وأمن الحدود ومراجعات الطرف الثالث ... كل ذلك هو الكثير لمواكبة ذلك. وهذا حتى مع عدم تخزين معلومات بطاقة الائتمان الخاصة بنا!

(Sidenote: إذا كنت تقوم بالتجارة الإلكترونية ، فيجب أن تكون متوافقًا مع PCI حتى لو لم تقم بتخزين بيانات CC. إذا لم تكن مقدم الشكوى الآن ، فاعتبر نفسك محظوظًا لأنه لم يضر بك حتى الآن.)

النظر في وجود المعالج الخاص بك التعامل معها. نحن نستخدم Authorize.net ولديهم واجهة برمجة تطبيقات رائعة حتى نتمكن من بناء الواجهة الأمامية المخصصة الخاصة بنا ، لكنهم يهتمون بتخزين المدفوعات الفعلية والتعامل معها. إذا أردنا إعداد الفواتير المتكررة ، فلديهم نظام لتخزين المعلومات. بصراحة ، أنا أثق بهم أكثر مما أثق بنفسي.

4
dragonmantank

كما ذكر الأشخاص الآخرون ، فأنت تبحث عن PCI-DSS. كما ذكر الأشخاص الآخرون ، من المرجح أن يكون الالتزام باهظ التكلفة للمواقع الصغيرة.

الانتقال إلى Paypal للاستفادة من اشتراكاتهم ليس خيارًا. يتعين علينا تخزينها ، ولست بحاجة للتأكد من أن التخزين آمن!

يمكنك تخزين معرّف محليًا يحدد معلومات بطاقة ائتمان العميل على بوابة الدفع الخاصة بك. لست متأكدًا من أن Paypal تقدم هذا الخيار ولكن هناك بوابات دفع أخرى تعمل.

ضع في اعتبارك أيضًا أنه حتى في حالة عدم تخزين بيانات بطاقة الائتمان على القرص ، فلا تزال في نطاق بعض متطلبات PCI-DSS. إن أسهل طريقة للامتثال هي إلى حد بعيد عدم أخذ أي بيانات CC (أي: عن طريق إرسال نموذج الدفع مباشرة إلى بوابة الدفع).

4
Thiago Figueiro

تقدم خدمات مثل http://chargify.com/ طبقة إضافية على بوابات الدفع الحالية. من المحتمل أن يقدموا جميع أنواع الطرق لتخزين بطاقات الائتمان الخاصة بك ، وتنفيذ المدفوعات المتكررة ، وحتى إنشاء تقارير لك.

سيتيح لك ذلك التحايل على كامل مشكلة الالتزام و PCI. أحد الشواغل التي لدي ، هو إذا كنت ترغب في يوم ما في تغيير البائعين أو حسابات التجار أو العبارات. كيف تأخذ زبائنك الـ 10،000 معك؟ هل يقومون بتسليم قاعدة بيانات لبطاقات الائتمان؟ هل ستعمل مع منافس لنقل معلومات بطاقة الائتمان؟

اشك به. من المحتمل أن تطلب من جميع عملائك إعادة إرسال معلومات الفواتير الخاصة بهم إذا قمت بتغيير مزودي الخدمة. هذه حجة صغيرة لصالح تخزين معلومات بطاقة الائتمان بنفسك. ربما يستحق كل هذا العناء فقط إذا كنت ستحصل على الكثير من العملاء والكثير من الإيرادات. سأكون فضوليًا جدًا لسماع أفكار الشعوب الأخرى حول هذا اللغز المعين.

3
zaqintosh

ليس لدي ما يكفي من الممثلين للتصويت أو التعليق حتى الآن ، لذلك فإن هذا يحدث في إجابة جديدة. كما أشار zhaph ، تقدم العديد من الشركات التجارية نظام دفع متكرر حيث تتعامل مع التخزين لك.

نحن نستخدم Authorize.net لأي عملاء غير راغبين في استخدام Paypal ، وهو يعمل بشكل جيد إلى حد ما (الشكوى الكبيرة الوحيدة لدينا هي أن مفتاح API يعاد ضبطه كل 6 أشهر ، ولا يكلف نفسه عناء إخطارك عندما يحدث ذلك ، لذلك الصفحة فقط يتوقف عن العمل). واجهة برمجة التطبيقات (API) الخاصة بهم تستند إلى XML ويمكنك العثور على أغلفة لها بكل لغة تقريبًا.

2
ChiperSoft

لاحظ أنه إذا انتهى بك الأمر إلى أن تقرر تخزين معلومات بطاقة الائتمان في ديسيبل الخاص بك ، فلا ينبغي لك ، تحت أي ظرف من الظروف ، تخزين رمز أمان البطاقة المكون من 3 أرقام . القيام بذلك ممنوع منعا باتا من قبل الجمعيات البطاقة.

راجع للشغل ، لا تحتاج إلى رمز أمان البطاقة من أجل إجراء معاملة. يعمل ذلك على تحسين معدل اكتشاف الاحتيال ، ولكن يجب ألا تحتاج إليه إذا كان لديك علاقة مستمرة مع العميل. (وحتى لو كنت تعتقد أنك في حاجة إليها ، لا يمكنك تخزينها. بغض النظر عن ما.)

أنا أيضا الثانية التوصيات الأخرى لعدم تخزين المعلومات. Authorize.Net's مدير معلومات العملاء سهل الاستخدام ورخيص. سيكون أرخص بكثير بالنسبة لك لاستخدامها بدلاً من تحمل تكاليف PCI الملازمة لتخزين المعلومات على الخوادم الخاصة بك.

1
Larry K

إذا كنت ستقوم بتخزين بطاقات الائتمان في قاعدة البيانات الخاصة بك ، فإن التشفير هو المفتاح. ستحتاج أيضًا (أو ربما تحتاج) إلى إجراء اختبار توافق روتيني لجهة خارجية لضمان أنظمتك تصل إلى حد ما.

1
Milner