Ho attraversato questo processo non molto tempo fa con un'azienda per cui ho lavorato e ho intenzione di ripeterlo presto con i miei affari. Se hai qualche conoscenza tecnica di rete, non è poi così male. Altrimenti starai meglio usando Paypal o un altro tipo di servizio.
Il processo inizia ottenendo un account commerciante configurazione del e legata al tuo conto bancario. Potresti voler verificare con la tua banca, perché molte grandi banche forniscono servizi commerciali. Potresti essere in grado di ottenere offerte, perché sei già un loro cliente, ma in caso contrario, puoi cercare in giro. Se prevedi di accettare Discover o American Express, questi saranno separati, perché forniscono i servizi mercantili per le loro carte, senza aggirare il problema. Ci sono anche altri casi speciali. Questo è un processo di candidatura, preparati.
Successivamente dovrai acquistare un certificato SSL che puoi utilizzare per proteggere le tue comunicazioni per quando le informazioni della carta di credito vengono trasmesse su reti pubbliche. Ci sono molti venditori, ma la mia regola empirica è quella di sceglierne uno che sia un marchio in un certo senso. Meglio sono conosciuti, tanto meglio il tuo cliente ne avrà probabilmente sentito parlare.
Successivamente vorrai trovare un gateway di pagamento da utilizzare con il tuo sito. Anche se questo può essere facoltativo a seconda di quanto sei grande, ma la maggior parte delle volte non lo sarà. Ne avrai bisogno. I fornitori di gateway di pagamento forniscono un modo per comunicare con l'API di Internet Gateway con cui comunicherai. La maggior parte dei fornitori fornisce comunicazioni HTTP o TCP / IP con le loro API. Elaboreranno i dati della carta di credito per tuo conto. Due fornitori sono Authorize.Net e PayFlow Pro . Il link che fornisco di seguito contiene ulteriori informazioni su altri fornitori.
E adesso? Per i principianti ci sono linee guida su ciò che l'applicazione deve rispettare per la trasmissione delle transazioni. Durante il processo di installazione di tutto, qualcuno guarderà il tuo sito o la tua applicazione e si assicurerà che tu stia rispettando le linee guida, come l'utilizzo di SSL e che tu abbia i termini di utilizzo e la documentazione sui criteri su quali informazioni vengono utilizzate dall'utente per. Non rubare questo da un altro sito. Vieni con il tuo, assumere un avvocato se è necessario. Molte di queste cose rientrano nel collegamento PCI Data Security fornito da Michael nella sua domanda.
Se prevedi di memorizzare i numeri di carta di credito, è meglio essere pronti a mettere in atto alcune misure di sicurezza interne per proteggere le informazioni. Assicurarsi che il server su cui sono archiviate le informazioni sia accessibile solo ai membri che devono avere accesso. Come ogni buona sicurezza, fai le cose a strati. Più strati hai messo in atto, meglio è. Se lo desideri, puoi utilizzare la sicurezza del tipo di telecomando , come SecureID o eTokenper proteggere la stanza in cui si trova il server. Se non puoi permetterti il percorso del portachiavi, usa il metodo a due chiavi. Consentire a una persona che ha accesso alla stanza di firmare una chiave, che accompagna una chiave che già portano. Avranno bisogno di entrambe le chiavi per accedere alla stanza. Successivamente si protegge la comunicazione con il server con le politiche. La mia politica è che l'unica cosa che le comunica sulla rete è l'applicazione e che le informazioni sono crittografate. Il server non dovrebbe essere accessibile in nessun'altra forma. Per i backup, utilizzo TrueCryptper crittografare i volumi in cui verranno salvati i backup. Ogni volta che i dati vengono rimossi o archiviati altrove, si utilizza nuovamente TrueCrypt per crittografare il volume su cui si trovano i dati. Fondamentalmente ovunque siano i dati, devono essere crittografati. Assicurarsi che tutti i processi per accedere ai dati siano accompagnati da audit trail. utilizzare i registri per accedere alla sala server, utilizzare le telecamere, se possibile, ecc. Un'altra misura è crittografare le informazioni della carta di credito nel database. Ciò garantisce che i dati possano essere visualizzati nell'applicazione solo dove è possibile imporre chi visualizza le informazioni.
Uso pfsense per il mio firewall. Lo eseguo su una scheda flash compatta e ho due server configurati. Uno è per il failover per la ridondanza.
Ho trovato questo post sul blog di Rick Strahl che mi ha aiutato moltissimo a capire come fare l'e-commerce e cosa serve per accettare le carte di credito attraverso un'applicazione web.
Bene, questa si è rivelata una lunga risposta. Spero che questi suggerimenti siano d'aiuto.