[security] Processori di pagamento: cosa devo sapere se desidero accettare carte di credito sul mio sito web?



Answers

Poniti la seguente domanda: perché vuoi memorizzare i numeri delle carte di credito in primo luogo ? È probabile che tu non lo faccia. In effetti, se li metti in magazzino e riesci a farti rubare uno, potresti avere qualche responsabilità seria.

Ho scritto un'app che memorizza i numeri delle carte di credito (poiché le transazioni sono state elaborate offline). Ecco un buon modo per farlo:

  • Ottieni un certificato SSL!
  • Crea un modulo per ottenere CC # dall'utente.
  • Cripta la parte (non tutta!) Di CC # e memorizzala nel tuo database. (Suggerirei le 8 cifre centrali.) Utilizzare un metodo di crittografia forte e una chiave segreta.
  • Invia il resto del numero CC a chiunque elabori le tue transazioni (probabilmente te stesso) con l'ID della persona da elaborare.
  • Quando si effettua il login in un secondo momento, si digiterà l'ID e la parte inviata di CC #. Il tuo sistema può decodificare l'altra parte e ricombinarlo per ottenere il numero completo in modo da poter elaborare la transazione.
  • Infine, elimina il record online. La mia soluzione paranoica era sovrascrivere il record con dati casuali prima della cancellazione, per rimuovere la possibilità di un undelete.

Sembra un sacco di lavoro, ma non registrando mai un CC # completo, è estremamente difficile per un hacker trovare qualcosa di valore sul proprio server web. Fidati di me, vale la pena.

Question

Questa domanda parla di diversi processori di pagamento e di quanto costano, ma sto cercando la risposta a cosa devo fare se voglio accettare i pagamenti con carta di credito?

Supponiamo di dover memorizzare i numeri delle carte di credito per i clienti, in modo che l'ovvia soluzione di affidarsi al processore di carte di credito per effettuare il sollevamento pesi non sia disponibile.

PCI Data Security , che è apparentemente lo standard per la memorizzazione delle informazioni della carta di credito, ha un sacco di requisiti generali, ma come li si implementa ?

E i venditori, come Visa , che hanno le loro migliori pratiche?

Devo avere l'accesso con il telecomando alla macchina? Che ne dici di proteggerlo fisicamente dagli hacker nell'edificio? O anche se qualcuno ha messo le mani sui file di backup con i file di dati del server SQL su di esso?

E i backup? Ci sono altre copie fisiche di quei dati in giro?

Suggerimento: se ottieni un account commerciante, devi negoziare che ti fanno pagare "interscambio-plus" anziché prezzi a livelli. Con la tariffazione a più livelli, ti addebiteranno tariffe diverse in base al tipo di Visa / MC utilizzato, ad esempio. ti caricano di più per le carte con grandi ricompense ad esse collegate. Interchange più fatturazione significa che si paga solo al processore ciò che Visa / MC addebita loro, oltre a una tariffa fissa. (Amex e Discover addebitano le proprie tariffe direttamente ai commercianti, quindi questo non si applica a quelle carte. Le tariffe Amex saranno comprese nell'intervallo del 3% e Discover potrebbero essere a un minimo dell'1%. l'intervallo del 2%). Questo servizio dovrebbe fare la negoziazione per te (non l'ho usato, questo non è un annuncio, e non sono affiliato con il sito web, ma questo servizio è molto necessario).

Questo post sul blog fornisce un riepilogo completo della gestione delle carte di credito (in particolare per il Regno Unito).

Forse ho sbagliato la domanda, ma sto cercando suggerimenti come questi:

  1. Usa SecurID o eToken per aggiungere un ulteriore livello di password alla casella fisica.
  2. Assicurati che la scatola sia in una stanza con una combinazione di blocco fisico o codice.



Perché preoccuparsi della conformità PCI? Nella migliore delle ipotesi, avrai una percentuale in meno delle tue spese di elaborazione. Questo è uno di quei casi in cui devi essere sicuro che questo è ciò che vuoi fare con il tuo tempo sia in anticipo nello sviluppo che nel tempo per stare al passo con gli ultimi requisiti.

Nel nostro caso, ha più senso usare un gateway di sottoscrizione-salvataggio e associarlo a un account commerciante. Il gateway di sottoscrizione-savy consente di saltare tutta la conformità PCI e non fare altro che elaborare la transazione corretta.

Utilizziamo TrustCommerce come gateway e siamo soddisfatti del loro servizio / prezzo. Hanno il codice per un sacco di lingue che rende l'integrazione abbastanza facile.




C'è molto per l'intero processo. Il solo modo più semplice per farlo è quello di utilizzare servizi simili a paypal, in modo da non poter mai effettivamente gestire i dati delle carte di credito. Oltre a questo, c'è un bel po 'di cose da fare per ottenere l'approvazione di offrire servizi di carte di credito sul tuo sito web. Probabilmente dovresti parlare con la tua banca e le persone che emettono il tuo ID commerciante per aiutarti a configurare il processo.




Mi piacerebbe aggiungere un commento non tecnico a cui potresti voler pensare

Molti dei miei clienti gestiscono siti di e-commerce, tra cui una coppia con negozi moderatamente grandi. Entrambi, sebbene possano certamente implementare un gateway di pagamento, scelgono non troppo, prendono il numero cc, lo memorizzano temporaneamente crittografato online e lo elaborano manualmente.

Lo fanno a causa dell'elevata incidenza di frodi e l'elaborazione manuale consente loro di prendere ulteriori controlli prima di riempire un ordine. Mi è stato detto che rifiutano poco più del 20% di tutte le loro transazioni - l'elaborazione manuale richiede certamente più tempo e in un caso hanno un dipendente che non fa altro che elaborare le transazioni, ma il costo di pagare il suo stipendio è apparentemente inferiore al loro esposizione se hanno appena passato numeri cc attraverso un gateway online.

Entrambi questi clienti forniscono beni fisici con valore di rivendita, quindi sono particolarmente esposti e per articoli come software in cui una vendita fraudolenta non comporterebbe alcuna perdita effettiva del tuo chilometraggio, ma vale la pena considerare sopra gli aspetti tecnici di un gateway online se l'implementazione di questo è davvero quello che vuoi.

EDIT: E dal momento che la creazione di questa risposta mi piacerebbe aggiungere un ammonimento e dire che il tempo è passato quando questa era una buona idea.

Perché? Perché conosco un altro contatto che stava adottando un approccio simile. I dettagli della carta sono stati archiviati crittografati, il sito Web è stato accesso tramite SSL e i numeri sono stati cancellati immediatamente dopo l'elaborazione. Sicuro, pensi?

Nessuna macchina nella propria rete è stata infettata da un Trojan di registrazione chiave. Di conseguenza, sono stati identificati come fonte di numerosi falsi con le carte di credito dei punteggi e di conseguenza sono stati colpiti da una multa.

Di conseguenza, non consiglio mai a nessuno di gestire da solo le carte di credito. I gateway di pagamento sono diventati molto più competitivi e redditizi e le misure antifrode sono migliorate. Il rischio ora non è più valsa la pena.

Potrei cancellare questa risposta, ma ritengo che sia meglio lasciarlo modificato come ammonimento.




Related