Зберігання реквізитів кредитної картки

Мені потрібно зберігати номери кредитних карт для повторних платежів через нашого третього продавця.

Чи є якісь стандарти, яких я повинен дотримуватися щодо зберігання деталей? Ми приймаємо кредитні картки протягом багатьох років, але ми викидали їх реквізити, як тільки закінчилися з ними. Наші клієнти попросили, щоб ми зберігали їх дані, щоб їм не потрібно було щомісяця вручну сплачувати абонентську плату.

Перехід на PayPal для використання своїх підписок - це не варіант. Ми повинні їх зберігати, і мені потрібно переконатися, що сховище надійне!

Ми видаємо MSSQL 2005 для своїх даних, і все вже SSL'd.

Вам потрібно буде дотримуватися (до листа) і бажано перевищувати стандарт PCI DSS . Це, в жодному разі, нелегке завдання, і його не слід сприймати банально.

Я настійно рекомендую знайти сторонній процесор, який може це зробити для вас і інтегрувати його у вашу платіжну систему. Це далеко не просто наявність SSL та шифрування інформації в базі даних. Ви також повинні стежити за доступом, виявляти вторгнення, мати системи, які можуть сповіщати лише постраждалих людей у ​​разі порушення (та визначати, які дані можуть бути порушені) тощо.

Потім відбувається фізичний доступ до серверів, мережі тощо. Це означає заблокований кабінет, який не надається спільним серверам, якими ви володієте, де фізична локальна мережа також захищена. Дотримання не буде дешевим чи простим.

Дійсно, витрачайте всі можливі зусилля, щоб перевантажити це сторонній стороні. Сама відповідальність просто не вартує ризику, якщо ви не говорите про трансакції, що становлять сотні тисяч (вставте тут свою валюту) щомісяця. У такому випадку, заощаджені гонорари можуть виправдати застосування таланту, необхідного для впровадження та моніторингу систем, що зберігають інформацію. Вам знадобиться:

• Системні програмісти (вам знадобляться гачки аудиту рівня ядра та файлової системи)
• Гуру IDS / IPS (якщо ви не любите блокування постачальника)
• 24/7/365 персонал контролює сповіщення, що надходять із систем, які розробляли експерти. Ці люди недешеві, вони приймають рішення витягнути платіжну вилку або повідомити про помилку в алгоритмах, які ви використовуєте.

І тоді знову, ви можете завантажити все це сторонній стороні, досить дешево.

Це ніколи не є хорошою ідеєю , щоб зберігати дані кредитної картки коли - або . Ви просто налаштовуєтесь на падіння, будь-який пристойний шлюз платежів дозволить вам робити повторювані операції з маркером, де вам не потрібно зберігати дані кредитної картки.

Багато відповідей, які ви шукаєте, можна знайти на веб-сайті Посібника з відповідності платіжних картках . Їх сторінка посилань особливо корисна.

Найкращою пропозицією було б дозволити сторонній стороні керувати цим сховищем.

Чи не включає ваш третій продавець сторону можливість постійних платежів кредитною карткою - більшість основних у Великобританії, безумовно, такі (DataCash, RBS World Pay тощо).

В основному, ви надсилаєте їм дані про картку один раз, із запитом до органу CCC (який, якщо я правильно пам'ятаю, повинен включати очікуваний графік і регулярну суму), а потім ви отримуєте від них жетон. Потім щомісяця / що завгодно опитуєте продавця маркером, і він обробляє наступні транзакції для вас - зазвичай також існують засоби встановити їх для змінних, спеціальних запитів. Основна вимога, з якою Ви закінчуєтесь, - сповістити клієнта (як мінімум за 10 днів) до здійснення платежу.

Таким чином, ви нікуди не зберігаєте деталі CC, це все, чим займаються люди, які відповідають вимогам.

Це схоже на попередню авторизацію на картці, тому вам ніколи не потрібно зберігати кредитну карту, а лише маркер від продавця, який ви можете зателефонувати за потребою.

Ми повинні їх зберігати, і мені потрібно переконатися, що сховище надійне!

Одне питання: чому?

Я це прошу лише тому, що мені доводиться самому мати справу з PCI, і не відставати від цього - це біль. Незважаючи на те, що моя щоденна робота кваліфікує нас як найнижчу сходинку за дотриманням PCI, все ще багато що входить в це. Шифрування, найменші міркування щодо привілеїв, безпека ОС сервера, безпека внутрішньої мережі, безпека кордонів, аудит сторонніх організацій ... все це має бути в курсі. І це навіть у нас, не зберігаючи інформацію про кредитні картки!

(Sidenote: Якщо ви займаєтеся електронною комерцією, ви повинні бути сумісними з PCI, навіть якщо ви не зберігаєте дані CC. Якщо ви зараз не скаржитеся, вважайте себе щасливим, що вас ще не покусав.)

Погляньте, як ваш процесор впорається з цим. Ми використовуємо Authorize.net, і у них є чудовий API, щоб ми могли створити власний власний інтерфейс, але вони дбають про зберігання та справу з фактичними платежами. Якщо ми хотіли встановити повторювані рахунки, у них є система для зберігання інформації. Чесно кажучи, я довіряю їм більше, ніж я довіряю собі.

Як згадували інші люди, ви шукаєте PCI-DSS. Крім того, як згадували інші люди, дотримання правил, ймовірно, буде надмірно дорогим для невеликих сайтів.

Перехід на PayPal для використання своїх підписок - це не варіант. Ми повинні їх зберігати, і мені потрібно переконатися, що сховище надійне!

Ви можете локально зберігати ідентифікатор, який ідентифікує інформацію кредитної картки клієнта на вашому платіжному шлюзі. Я не впевнений, що PayPal пропонує цей варіант, але є й інші шлюзові платежі.

Також майте на увазі, що навіть якщо ви не зберігаєте дані кредитної картки на диску, ви все ще можете застосовувати деякі вимоги PCI-DSS. На сьогодні найпростіший спосіб бути сумісним - це не брати будь-яких даних CC (тобто: шляхом розміщення платіжної форми безпосередньо на шлюз платежів).

Такі служби, як http://chargify.com/, пропонують додатковий рівень поверх існуючих шлюзів платежів. Вони, ймовірно, пропонують всілякі способи зберігати для вас кредитні картки, здійснювати періодичні платежі та навіть створювати звіти для вас.

Це дозволить вам обійти всю проблему відповідальності та відповідності PCI. Я хвилююсь, якщо одного дня ви хочете змінити продавців, торгові рахунки чи шлюзи. Як ви берете своїх 10 000 клієнтів із собою? Вони передають базу даних кредитних карт? Чи буде робота з конкурентом для переміщення інформації про кредитну карту?

Я сумніваюся в цьому. Швидше за все, вам доведеться попросити всіх своїх клієнтів повторно подати платіжну інформацію, якщо ви поміняєте постачальників. Це один невеликий аргумент на користь зберігання даних кредитної картки самостійно. Напевно, варто лише того, якщо у вас буде багато клієнтів і великий дохід. Мені було б дуже цікаво почути думки інших людей щодо цієї загадки.

У мене ще недостатньо представників для підтвердження або коментарів, тому це буде новою відповіддю. Як зазначав Джаф , багато торгових компаній пропонують регулярну систему оплати, де вони обробляють сховище для вас.

Ми використовуємо Authorize.net для будь-яких клієнтів, які не бажають користуватися PayPal, і це працює досить добре (наша єдина велика скарга - скидання ключа API кожні 6 місяців, і вони не намагаються повідомляти вас про це, тому сторінка просто перестає працювати). Їх API заснований на XML, і ви можете знайти обгортки для нього практично будь-якою мовою.

Зауважте, що якщо ви все-таки вирішите зберігати інформацію кредитної картки у власному db, ні в якому разі не слід зберігати тризначний код безпеки картки . Це робити суворо заборонено картковими асоціаціями.

До речі, вам не потрібен код безпеки картки для здійснення транзакції. Це покращує рівень виявлення шахрайства, але вам це не потрібно, якщо ви маєте постійні стосунки з клієнтом. (І навіть якщо ви думаєте, що вам це потрібно, ви не можете його зберігати. Не важливо.)

Я також дружую інші рекомендації щодо збереження інформації. Менеджер інформації про клієнтів Authorize.Net простий і дешевий у використанні. Вам буде набагато дешевше використовувати його, а не нести витрати PCI, властиві зберіганню інформації на власних серверах.

Якщо ви збираєтеся зберігати кредитні картки у своїй базі даних, шифрування є ключовим. Ви також хочете (або, можливо, знадобиться) провести сторонне тестування регулярного тестування на відповідність, щоб переконатися, що ваші системи не спрацьовують.