Memorizzazione dei dettagli della carta di credito

Devo memorizzare i numeri di carta di credito per la fatturazione ricorrente tramite il nostro commerciante di terze parti.

Ci sono degli standard ai quali devo attenermi per quanto riguarda l'archiviazione dei dettagli? Accettiamo carte di credito da anni, ma abbiamo scartato i loro dettagli non appena abbiamo finito con loro. I nostri clienti ci hanno chiesto di archiviare i loro dati in modo da non dover pagare manualmente la quota di abbonamento ogni mese.

Passare a PayPal per utilizzare i loro abbonamenti non è un'opzione. Dobbiamo memorizzarli e devo assicurarmi che l'archiviazione sia sicura!

Utilizziamo MSSQL 2005 per i nostri dati e tutto è già SSL.

Dovrai seguire (alla lettera) e preferibilmente superare lo standard PCI DSS . Questo non è in alcun modo un compito facile da svolgere né dovrebbe essere preso in modo banale.

Consiglio vivamente di trovare un processore di terze parti in grado di gestirlo e integrarlo nel sistema di fatturazione. Va ben oltre il semplice avere SSL e crittografare le informazioni nel database. È inoltre necessario monitorare l'accesso, rilevare le intrusioni, disporre di sistemi in grado di notificare solo le persone interessate in caso di violazione (e determinare quali dati potrebbero essere stati compromessi), ecc.

Quindi, vi è un accesso fisico ai server, alla rete, ecc. Ciò significa un cabinet bloccato che non è condiviso su server di proprietà della LAN fisica protetta. La conformità non sarà economica o facile.

Davvero, spendi ogni sforzo possibile per scaricare questo a una terza parte. La sola responsabilità non vale semplicemente il rischio, a meno che tu non parli di transazioni che ammontano a centinaia di migliaia di (inserisci la tua valuta qui) mensilmente. In tal caso, le commissioni che risparmi potrebbero giustificare il ricorso al talento necessario per implementare e monitorare i sistemi che memorizzano le informazioni. Avrai bisogno:

• Programmatori di sistemi (sono necessari hook di controllo a livello di kernel e file system)
• Guru IDS / IPS (a meno che non ami il blocco dei fornitori)
• 24/7/365 personale per monitorare gli avvisi generati dai sistemi progettati dagli esperti. Queste persone non sono economiche, prendono la decisione di staccare la spina di fatturazione o segnalare un bug negli algoritmi che usi.

E poi di nuovo, potresti scaricare tutto ciò a una terza parte, abbastanza a buon mercato.

Non è mai una buona idea archiviare mai i dettagli della carta di credito . Ti stai solo preparando per una caduta, qualsiasi gateway di pagamento decente ti consentirà di effettuare transazioni ricorrenti con un token in cui non è necessario memorizzare i dettagli della carta di credito.

Molte risposte che cerchi sono disponibili sul sito Web della Guida alla conformità del settore delle carte di pagamento . La loro pagina dei collegamenti è particolarmente utile.

Il miglior suggerimento sarebbe di consentire a terzi di gestire questo spazio di archiviazione.

Il tuo commerciante di terze parti non include l'opzione per i pagamenti continui con carta di credito - la maggior parte dei principali qui nel Regno Unito lo fanno sicuramente (DataCash, RBS World Pay, ecc.).

Fondamentalmente, invii i dettagli della carta una volta a loro, con una richiesta per un'autorità CCC (che, se ricordo bene, deve includere il programma previsto e l'importo regolare), e quindi ricevi un token da loro. Quindi ogni mese / qualunque cosa tu sondi il commerciante con il token, ed essi elaborano le transazioni successive per te - di solito ci sono anche delle strutture per impostarle per richieste variabili e ad hoc. Il requisito fondamentale da parte tua è di informare il cliente (di solito almeno 10 giorni) prima di effettuare il pagamento.

In questo modo, non stai memorizzando i dettagli CC da nessuna parte, tutto è gestito da persone che hanno soddisfatto i requisiti.

Questo è simile al fare le pre-autorizzazioni su una carta, quindi non dovresti mai dover conservare la carta di credito, solo un token del Commerciante che puoi chiamare secondo necessità.

Dobbiamo memorizzarli e devo assicurarmi che l'archiviazione sia sicura!

Una domanda: perché?

Lo chiedo solo perché devo occuparmi del PCI da solo, e tenerlo al passo è un dolore. Anche se il mio lavoro quotidiano ci qualifica come il gradino più basso per la conformità PCI, c'è ancora molto da fare. Crittografia, considerazioni sui privilegi minimi, sicurezza del sistema operativo del server, sicurezza della rete interna, sicurezza delle frontiere, audit di terze parti ... è tutto molto al passo. E questo è anche con noi che non memorizziamo le informazioni della carta di credito!

(Sidenote: se stai facendo e-commerce, devi essere conforme PCI anche se non stai memorizzando i dati CC. Se non ti lamenti ora, considerati fortunato che non ti abbia ancora morso.)

Cerca di gestirlo con il tuo processore. Usiamo Authorize.net e hanno un'API meravigliosa in modo da poter costruire il nostro front-end personalizzato, ma si occupano di archiviare e gestire i pagamenti effettivi. Se volessimo impostare la fatturazione ricorrente, hanno un sistema per archiviare le informazioni. Onestamente, mi fido di loro più di quanto io abbia fiducia in me stesso.

Come altri hanno già detto, stai cercando PCI-DSS. Inoltre, come menzionato da altre persone, è probabile che la conformità sia proibitiva per i siti di piccole dimensioni.

Passare a PayPal per utilizzare i loro abbonamenti non è un'opzione. Dobbiamo memorizzarli e devo assicurarmi che l'archiviazione sia sicura!

È possibile archiviare localmente un ID che identifica i dati della carta di credito del cliente sul gateway di pagamento. Non sono sicuro che PayPal offra questa opzione, ma esistono altri gateway di pagamento.

Inoltre, tieni presente che anche se non stai memorizzando i dati della carta di credito su disco, sei ancora nell'ambito di alcuni requisiti PCI-DSS. Di gran lunga il modo più semplice per essere conformi è quello di non prendere alcun dato CC (es .: inviando il modulo di pagamento direttamente al gateway di pagamento).

Servizi come http://chargify.com/ offrono un ulteriore livello in aggiunta ai gateway di pagamento esistenti. Probabilmente offriranno tutti i modi per archiviare le carte di credito, implementare pagamenti ricorrenti e persino creare report per te.

Ciò ti consentirà di eludere l'intera responsabilità e il problema di conformità PCI. Una delle mie preoccupazioni è se un giorno vuoi cambiare fornitori, account commercianti o gateway. Come porti con te i tuoi 10.000 clienti? Consegnano un database di carte di credito? Lavorerà con un concorrente per spostare le informazioni della carta di credito?

Ne dubito. È probabile che dovresti chiedere a tutti i tuoi clienti di inviare nuovamente le informazioni di fatturazione se cambi fornitore. Questo è un piccolo argomento a favore della memorizzazione dei dati della carta di credito. Probabilmente ne vale la pena solo se hai molti clienti e molte entrate. Sarei molto curioso di sentire i pensieri degli altri su questo particolare enigma.

Non ho ancora abbastanza rappresentanti per votare o commentare, quindi questa è una nuova risposta. Come ha sottolineato zhaph , molte aziende mercantili offrono un sistema di pagamento ricorrente in cui gestiscono lo stoccaggio per te.

Abbiamo utilizzato Authorize.net per tutti i clienti che non desiderano utilizzare PayPal e ha funzionato abbastanza bene (la nostra unica lamentela è che la chiave API viene reimpostata ogni 6 mesi e non si preoccupano di avvisarti quando succede, quindi il la pagina smette di funzionare). La loro API è basata su XML e puoi trovarne i wrapper in quasi tutte le lingue.

Si noti che se si decide di archiviare i dati della carta di credito nel proprio db, in nessun caso è necessario memorizzare il codice di sicurezza della carta a 3 cifre . Ciò è severamente vietato dalle associazioni delle carte.

A proposito, non è necessario il codice di sicurezza della carta per effettuare una transazione. Migliora il tasso di rilevamento delle frodi, ma non dovresti averne bisogno se hai una relazione in corso con il cliente. (E anche se pensi di averne bisogno, non puoi conservarlo. Non importa quale.)

Inoltre secondo gli altri consigli per non memorizzare le informazioni. Il Customer Information Manager di Authorize.Net è facile ed economico da usare. Sarà MOLTO MOLTO più economico per te usarlo piuttosto che sostenere i costi PCI inerenti alla memorizzazione delle informazioni sui tuoi server.

Se hai intenzione di archiviare le carte di credito nel tuo database, la crittografia è la chiave. Inoltre, vorrai (o forse avrai bisogno) che un terzo esegua test di conformità di routine per assicurarti che i tuoi sistemi siano all'altezza.