it-swarm.cn

存储信用卡详细信息

我需要存储信用卡号码,以便通过我们的第三方商家进行定期结算。

关于细节的存储,我是否需要遵守任何标准?我们多年来一直在接受信用卡,但我们过去就已经完成了丢弃信息。我们的客户要求我们存储他们的详细信息,这样他们就不必每个月手动支付订阅费。

转移到Paypal以利用他们的订阅不是一种选择。我们必须存储它们,我需要确保存储是安全的!

我们为我们的数据提供MSSQL 2005,一切都已经过SSL。

59
Mark Henderson

您需要遵循(至字母)并且最好超过PCI DSS 标准。这绝不是一件容易完成的任务,也不应该是琐碎的。

strong建议您找到可以为您处理此问题的第三方处理器并将其集成到您的结算系统。它不仅仅是拥有SSL并加密数据库中的信息。您还必须监控访问,检测入侵,建立适当的系统,以便在发生泄露时仅通知受影响的人(并确定哪些数据可能已被泄露)等。

然后,可以物理访问服务器,网络等。这意味着锁定的机柜不会在您拥有的服务器上共享,而物理LAN也受到保护。合规性并不便宜或容易。

真的,尽一切努力将其卸载到第三方。除非您每月谈论的交易数量达到数十万(在此处插入您的货币),否则仅凭负债是不值得冒险的。在这种情况下,您节省的费用可能有助于实现实施和监控存储信息的系统所需的人才。你需要:

  • 系统程序员(您将需要内核和文件系统级审计挂钩)
  • IDS/IPS大师(除非你喜欢供应商锁定)
  • 24/7/365员工监控专家设计的系统产生的警报。这些人并不便宜,他们决定拉出计费插件或报告您使用的算法中的错误。

然后,您可以非常便宜地将所有这些卸载到第三方。

84
Tim Post

存储信用卡详细信息绝不是一个好主意永远。您只是为自己的摔倒做好准备,任何体面的支付网关都允许您使用令牌进行定期交易,而您无需存储信用卡详细信息。

22
Whisk

您寻求的许多答案可以在 支付卡行业合规指南 网站上找到。他们的 链接 页面特别有用。

最好的建议是让第三方处理这个存储。

13
Bryson

您的第三方商家是否不包括持续信用卡付款的选项 - 英国的大多数主要信用卡确实存在(DataCash,RBS World Pay等)。

基本上,你向他们提交一次卡详细信息,并要求提供CCC授权(如果我没记错,需要包括预期的时间表和常规金额),然后你会收到他们的回复。然后每个月/无论您使用令牌对商家进行轮询,他们都会为您处理后续交易 - 通常还有设施来为变量,临时请求设置这些交易。您最终的关键要求是在付款前通知客户(通常至少10天)。

这样,您就不会将CC详细信息存储在任何位置,而是由满足要求的人员处理。

这与在卡上进行预授权类似,因此您永远不必存储信用卡,只需存储商家中可以根据需要调用的令牌。

8
Zhaph - Ben Duguid

我们必须存储它们,我需要确保存储是安全的!

一个问题:为什么?

我只是问这个因为我必须自己处理PCI,并且跟上它是一件痛苦的事。尽管我的日常工作使我们认为是PCI合规性的最低级别,但仍然有很多内容。加密,最小权限考虑因素,服务器操作系统安全性,内部网络安全性,边界安全性,第三方审核......要跟上这一步,还有很多事情要做。即使我们没有存储信用卡信息!

(旁注:如果您正在进行电子商务,即使您没有存储CC数据,也必须符合PCI标准。如果您现在没有投诉,请认为自己很幸运,它还没有咬过你。)

考虑让您的处理器处理它。我们使用Authorize.net,他们有一个很棒的API,因此我们可以构建自己的自定义前端,但他们负责存储和处理实际付款。如果我们想要设置重复计费,他们就有一个存储信息的系统。老实说,我更信任他们,而不是相信自己。

4
dragonmantank

正如其他人提到的,您正在寻找PCI-DSS。正如其他人提到的那样,小型网站的合规性可能非常昂贵。

转移到Paypal以利用他们的订阅不是一种选择。我们必须存储它们,我需要确保存储是安全的!

您可以在本地存储一个ID,用于在您的支付网关上标识客户的信用卡信息。我不确定Paypal是否提供此选项,但还有其他支付网关。

另外请记住,即使您没有将信用卡数据存储到磁盘,您仍然可以满足某些PCI-DSS要求。到目前为止,最简单的方法是不采用任何CC数据(即:通过将支付表单直接发送到支付网关)。

4
Thiago Figueiro

http://chargify.com/ 这样的服务在现有支付网关的基础上提供额外的层。他们可能会提供各种方法为您存储信用卡,实施定期付款,甚至为您创建报告。

这将让您规避整个责任和PCI合规性问题。我有一个问题,就是有一天你想要更改供应商,商家帐户或网关。你如何带走你的10,000名顾客?他们交出了信用卡数据库吗?与竞争对手合作将信用卡信息转移过来吗?

我对此表示怀疑。如果您更换提供商,您可能需要让所有客户重新提交其结算信息。这是支持自己存储信用卡信息的一个小参数。如果你有很多客户和很多收入,可能只值得。我很想知道其他人对这个特殊难题的想法。

3
zaqintosh

我还没有足够的代表进行upvote或评论,所以这是一个新的答案。作为 zhaph指出 ,许多商家公司提供定期付款系统,他们为您处理存储。

我们一直在为任何不愿意使用Paypal的客户使用Authorize.net而且它一直运行良好(我们唯一的抱怨是API密钥每6个月重置一次,并且他们不会在发生时通知您,所以页面刚停止工作)。他们的API是基于XML的,您可以在几乎所有语言中找到它的包装器。

2
ChiperSoft

请注意,如果您最终决定将信用卡信息存储在您自己的数据库中,则在任何情况下都不应存储 位数卡的安全代码 。卡协会严格禁止这样做。

顺便说一句,您不需要卡安全代码来进行交易。它提高了欺诈检测率,但如果您与客户有持续的关系,则不应该需要它。 (即使你认为你需要它,你也不能存储它。无论如何。)

我还提出其他建议,不存储信息。 Authorize.Net的 客户信息管理员 使用起来既简单又便宜。使用它会便宜很多,而不是在您自己的服务器上存储信息所固有的PCI成本。

1
Larry K

如果要在数据库中存储信用卡,则加密是关键。您还希望(或者可能需要)让第三方进行例行合规性测试,以确保您的系统符合要求。

1
Milner