security যবহ পেমেন্ট প্রসেসর-আমি কি আমার ওয়েবসাইটে ক্রেডিট কার্ড গ্রহণ করতে চাই কিনা তা জানতে হবে?




ভিসা ডেবিট কার্ড এর সুবিধা (8)

এই প্রশ্নটি বিভিন্ন পেমেন্ট প্রসেসর এবং তাদের কী খরচ হয়েছে সে সম্পর্কে আলোচনা করে, তবে আমি ক্রেডিট কার্ডের অর্থপ্রদান গ্রহণ করতে চাইলে কী করতে হবে তার উত্তর খোঁজার চেষ্টা করছি?

গ্রাহকদের জন্য ক্রেডিট কার্ড নম্বর সঞ্চয় করতে হবে বলে ধরে নিন, যাতে ভারী উদ্ধরণ করতে ক্রেডিট কার্ড প্রসেসরের উপর নির্ভর করার সুস্পষ্ট সমাধান পাওয়া যায় না।

পিসিআই ডেটা সিকিউরিটি যা দৃশ্যত ক্রেডিট কার্ড তথ্য সংরক্ষণের জন্য আদর্শ, সাধারণ প্রয়োজনীয়তার একটি গুচ্ছ আছে, কিন্তু কিভাবে এটি বাস্তবায়ন করে ?

এবং Visa মত বিক্রেতাদের কী, যাদের নিজস্ব সর্বোত্তম অনুশীলন আছে?

কি মেশিনে কীফব অ্যাক্সেস থাকতে হবে? শারীরিকভাবে বিল্ডিং এর হ্যাকার থেকে এটি রক্ষা সম্পর্কে কি? অথবা এমনকি যদি কেউ এসকিউএল সার্ভারের ডেটা ফাইলগুলির সাথে ব্যাকআপ ফাইলগুলিতে তাদের হাত পায়?

ব্যাকআপ সম্পর্কে কি? সেখানে অন্যান্য তথ্য যে দৈহিক কপি আছে?

টিপ: যদি আপনি কোনও বণিক অ্যাকাউন্ট পান, তবে আপনাকে দরকারি দামের পরিবর্তে "ইন্টারচেঞ্জ-প্লাস" চার্জ করা উচিত। টায়ার্ড মূল্যের সাথে, তারা কি ধরনের ভিসা / এমসি ব্যবহার করে সেগুলি আপনাকে বিভিন্ন হারে চার্জ করবে - অর্থাত্। তারা তাদের সাথে সংযুক্ত বড় পুরস্কার সঙ্গে কার্ড জন্য আপনাকে আরো চার্জ। ইন্টারচেঞ্জ প্লাস বিলিং মানে আপনি কেবলমাত্র প্রসেসরকে ভিসা / এমসি তাদের চার্জ করেন, পাশাপাশি একটি ফ্ল্যাট ফিও দেন। (আমেক্স এবং আবিষ্কারকারী সরাসরি তাদের ব্যবসায়ীদের কাছে সরাসরি দাম ধার্য করে, তাই এটি সেই কার্ডগুলিতে প্রযোজ্য নয়। আপনি অ্যামেক্স রেটগুলি 3% সীমার মধ্যে পাবেন এবং আবিষ্কারটি 1% হিসাবে কম হতে পারে। ভিসা / এমসি ইন 2% পরিসীমা)। এই পরিষেবাটি আপনার জন্য আলোচনার কথা বলে অনুমিত হয় (আমি এটি ব্যবহার করি নি, এটি একটি বিজ্ঞাপন নয় এবং আমি এই ওয়েবসাইটের সাথে সংযুক্ত নই, তবে এই পরিষেবাটি ব্যাপকভাবে প্রয়োজন।)

এই ব্লগ পোস্টটি ক্রেডিট কার্ডগুলি পরিচালনা করার সম্পূর্ণ রান্ডাউন্ড দেয় (বিশেষ করে যুক্তরাজ্যের জন্য)।

সম্ভবত আমি ভুল প্রশ্নটি অনুবাদ করেছি, কিন্তু আমি এই মত টিপস খুঁজছি:

  1. শারীরিক বাক্সে একটি অতিরিক্ত পাসওয়ার্ড স্তর যোগ করার জন্য SecurID বা eToken ব্যবহার করুন।
  2. একটি শারীরিক লক বা কীকোড সংমিশ্রণ সঙ্গে একটি রুম বক্স নিশ্চিত করুন।

নিজেকে নিম্নলিখিত প্রশ্ন জিজ্ঞাসা করুন: কেন আপনি ক্রেডিট কার্ড নম্বর প্রথম স্থানে সংরক্ষণ করতে চান ? সম্ভাবনা আপনি যে না। প্রকৃতপক্ষে, যদি আপনি তাদের সঞ্চয় করেন এবং চুরি করা পরিচালনা করেন তবে আপনি কিছু গুরুতর দায়বদ্ধতা দেখছেন।

আমি এমন একটি অ্যাপ্লিকেশন লিখেছি যা ক্রেডিট কার্ড নম্বর সঞ্চয় করে (যেহেতু লেনদেনগুলি অফলাইনে প্রক্রিয়া করা হয়েছিল)। এখানে এটি করার একটি দুর্দান্ত উপায়:

  • একটি SSL সার্টিফিকেট পান!
  • ব্যবহারকারী থেকে সিসি # পেতে একটি ফর্ম তৈরি করুন।
  • সিসি # এর অংশ এনক্রিপ্ট করুন (সমস্ত!) এবং এটি আপনার ডাটাবেসের মধ্যে সংরক্ষণ করুন। (আমি মধ্যম 8 ডিজিটের পরামর্শ দেব।) একটি শক্তিশালী এনক্রিপশন পদ্ধতি এবং একটি গোপন কী ব্যবহার করুন।
  • প্রক্রিয়াটি চালানোর জন্য ব্যক্তির আইডি সহ আপনার লেনদেনগুলি (সম্ভবত নিজের) প্রক্রিয়া করে এমন যে কেউ CC # বাকিটি মেল করুন।
  • যখন আপনি পরে লগ ইন করবেন, তখন আপনি সিডি # এর আইডি এবং মেলড-আউট অংশ টাইপ করবেন। সম্পূর্ণ সিস্টেম পেতে আপনার সিস্টেমটি অন্য অংশটি ডিক্রিপ্ট করতে এবং পুনরায় কম্প্রাইন করতে পারে যাতে আপনি লেনদেন প্রক্রিয়া করতে পারেন।
  • অবশেষে, অনলাইন রেকর্ড মুছে দিন। আমার প্যারানোড সমাধানটি মুছে ফেলার আগে র্যান্ডম ডেটা সহ রেকর্ডটি ওভাররাইট করা ছিল, অনাকাঙ্ক্ষিত সম্ভাবনাটি সরাতে।

এটি অনেক কাজ মত শোনাচ্ছে, কিন্তু যে কোনও জায়গায় সম্পূর্ণ সিসি # কোথাও রেকর্ড না করে, আপনি হ্যাকারকে আপনার ওয়েবসার্ভারের মান খুঁজে পাওয়ার জন্য এটি অত্যন্ত কঠিন করে তোলে। আমার বিশ্বাস, এটা মানসিক শান্তি মূল্য।


পিসিআই 1.2 ডকুমেন্ট মাত্র আসছে। এটি প্রয়োজনীয়তা সহ পিসিআই সম্মতি বাস্তবায়নের জন্য একটি প্রক্রিয়া দেয়। আপনি এখানে সম্পূর্ণ ডক খুঁজে পেতে পারেন:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

লম্বা গল্প সংক্ষিপ্ত, যে কোনও সার্ভারগুলি সিসি তথ্য সংরক্ষণ করার জন্য একটি পৃথক নেটওয়ার্ক সেগমেন্ট তৈরি করবে (সাধারণত ডিবি সার্ভার)। যতটা সম্ভব তথ্য বিচ্ছিন্ন করুন, এবং শুধুমাত্র ডেটা অ্যাক্সেস করতে প্রয়োজনীয় সর্বনিম্ন অ্যাক্সেস নিশ্চিত করুন। এটি সংরক্ষণ করার সময় এটি এনক্রিপ্ট করুন। কখনও প্যান সংরক্ষণ করুন। পুরানো তথ্য Purge এবং আপনার এনক্রিপশন কী ঘোরান।

উদাহরণ করবেন না:

  • ডাটাবেস সাধারণ তথ্য সন্ধান করতে পারেন একই অ্যাকাউন্ট যাক না সিসি তথ্য সন্ধান করুন।
  • আপনার ওয়েব সার্ভার হিসাবে একই শারীরিক সার্ভারে আপনার সিসি ডাটাবেস রাখা না।
  • আপনার সিসি ডাটাবেস নেটওয়ার্ক বিভাগে বাহ্যিক (ইন্টারনেট) ট্র্যাফিকের অনুমতি দেবেন না।

উদাহরণ ডস:

  • সিসি তথ্য জিজ্ঞাসা করার জন্য একটি পৃথক ডাটাবেস অ্যাকাউন্ট ব্যবহার করুন।
  • ফায়ারওয়াল / অ্যাক্সেস-তালিকাগুলির মাধ্যমে সিসি ডাটাবেস সার্ভারে প্রয়োজনীয় সমস্ত ট্র্যাফিক বরখাস্ত করুন
  • অনুমোদিত ব্যবহারকারীদের একটি সীমিত সেট সিসি সার্ভার অ্যাক্সেস সীমাবদ্ধ।

PCI এর জন্য অতিরিক্ত কাজ এবং বাজেটের জন্য হ্যান্ডেল পেতে ভুলবেন না। পিসিআই বহিরাগত অডিট ফি এবং অভ্যন্তরীণ প্রচেষ্টা / সমর্থন প্রয়োজন হতে পারে। এছাড়াও জরিমানা / জরিমানা সম্পর্কে সচেতন থাকুন যা আপনাকে একাত্মতার ভিত্তিতে প্রয়োগ করা যেতে পারে, প্রায়ই 'ভরবেগ' এর স্কেলে ব্যাপকভাবে অসম্পূর্ণ।


কেন পিসিআই সম্মতি সঙ্গে বিরক্ত ?? সেরা আপনি আপনার প্রসেসিং ফি বন্ধ একটি শতাংশ একটি ভগ্নাংশ শেভ করব। এটি এমন এক ক্ষেত্রে যেখানে আপনি অবশ্যই নিশ্চিত হবেন যে আপনি কীভাবে আপনার সময়ের সাথে সাথে উন্নয়ন এবং সময়ের সাথে সাথে সাম্প্রতিক প্রয়োজনীয়তাগুলি ধরে রাখার জন্য এটি এগিয়ে যাচ্ছেন।

আমাদের ক্ষেত্রে, এটি একটি সাবস্ক্রিপশন-সাভি গেটওয়ে ব্যবহার করার জন্য সবচেয়ে বুদ্ধিমান এবং বানিজ্যিক একাউন্টের সাথে যুক্ত করে। সাবস্ক্রিপশন-সেভি গেটওয়ে আপনাকে সমস্ত পিসিআই সম্মতি এড়িয়ে যেতে দেয় এবং লেনদেনের যথাযথ প্রক্রিয়া থেকে বেশি কিছু দেয় না।

আমরা আমাদের গেটওয়ে হিসাবে TrustCommerce ব্যবহার এবং তাদের সেবা / মূল্য সঙ্গে খুশি। তারা ভাষার এক গুচ্ছ জন্য কোড আছে যা ইন্টিগ্রেশন বেশ সহজ করে তোলে।


মনে রাখবেন যে একটি সার্ভারে একটি ব্রাউজার থেকে কার্ড নম্বর পাঠানোর জন্য SSL ব্যবহার করে আপনার কার্ডের সাথে আপনার ক্রেডিট কার্ড নাম্বারটি আচ্ছাদিত করা হয়: আপনার থাম্ব (এসএসএল) অন্য গ্রাহকদের রেস্তোরাঁয় বাধা দেয় (নেট) কার্ডটি দেখতে থেকে, কিন্তু একবার কার্ডটি ক্যাশিয়ারের হাতে (ওয়েব সার্ভার) কার্ডটি SSL এসএক্সচেঞ্জ দ্বারা সুরক্ষিত থাকে না এবং ক্যাশিয়ার সেই কার্ডের সাথে কিছু করতে পারে। একটি সংরক্ষিত কার্ড নম্বর অ্যাক্সেস শুধুমাত্র ওয়েব সার্ভারের নিরাপত্তা দ্বারা বন্ধ করা যাবে। সুতরাং, নেটের বেশিরভাগ কার্ড চুরি ট্রান্সমিশনের সময় সম্পন্ন হয় না, তারা দরিদ্র সার্ভার সুরক্ষা এবং ডেটাবেস চুরি করে কাজ করে।


অন্যরা যেমন উল্লেখ করেছেন যে এই অঞ্চলে সহজতম উপায় Paypal , গুগল চেকআউট বা Nochex । তবে আপনি যদি একটি উল্লেখযোগ্য পরিমাণে ব্যবসার উদ্দেশ্য করতে চান তবে আপনি WorldPay , নেটব্যাঙ্ক (ইউকে) বা নেটেলার (মার্কিন) হিসাবে উচ্চ স্তরের সাইট একীকরণ পরিষেবাদিতে "আপগ্রেডিং" দেখতে চাইতে পারেন। এই সব সেবা সেট আপ যুক্তিসঙ্গতভাবে সহজ। এবং আমি জানি যে Netbanx Intershop (যেমন আমি তাদের কিছু লিখেছি) হিসাবে শেল্ফ শপিং কার্ট সমাধান বন্ধ কিছু সুবিধাজনক ইন্টিগ্রেশন অফার করে। এর বাইরে আপনি ব্যাঙ্কিং সিস্টেমগুলির (এবং তাদের APAX সিস্টেমগুলির সাথে সরাসরি ইন্টিগ্রেশন) দেখছেন তবে এটি কঠিন এবং সেই মুহুর্তে ক্রেডিট কার্ড কোম্পানিগুলিকে প্রমাণ করতে হবে যে আপনি ক্রেডিট কার্ড নম্বরগুলিকে নিরাপদে পরিচালনা করছেন (সম্ভবত যদি বিবেচনার যোগ্য না হয় তবে আপনি প্রতি মাসে $ 100k এর মূল্য গ্রহণ করছেন না)।

1 লা থেকে খরচ / বেনিফিট শেষ করার কাজটি হল যে প্রথম বিকল্পটি সেটআপ করার জন্য অনেক সহজ (দ্রুত / সস্তা) সেটআপ করা হয় যাতে আপনি প্রতিটি লেনদেনের জন্য উচ্চ হ্যান্ডলিং চার্জগুলি দিতে পারেন। পরবর্তীগুলি সেট আপ করার জন্য আরো ব্যয়বহুল কিন্তু আপনি দীর্ঘ রান কম।

সবচেয়ে নিবেদিত সমাধানগুলির অন্যতম সুবিধা হল যে আপনাকে এনক্রিপ্ট করা ক্রেডিট কার্ড নম্বরগুলি সুরক্ষিত রাখতে হবে না। অন্য কারো সমস্যা হ'ল :-)


আমি একটি অ-প্রযুক্তিগত মন্তব্য যুক্ত করতে চাই যা আপনি মনে করতে পারেন

আমার ক্লায়েন্টদের বেশিরভাগ বড় দোকান আছে যারা একটি দম্পতি সহ, ই কমার্স সাইট চালানো। তাদের উভয়ই, তারা নিশ্চয়ই পেমেন্ট গেটওয়েটি বাস্তবায়ন করতে পারে না, তারা সিটি নম্বরটি গ্রহণ করে, এটি সাময়িকভাবে অনলাইনে এনক্রিপ্ট করে এবং নিজে নিজে প্রক্রিয়া করে।

জালিয়াতি এবং ম্যানুয়াল প্রক্রিয়াকরণের উচ্চতর ঘটনার কারণে তারা এটি করে যাতে কোনও আদেশ পূরণ করার আগে অতিরিক্ত চেক নিতে পারে। আমাকে বলা হয় যে তারা তাদের সমস্ত লেনদেনের ২0% থেকেও বেশি প্রত্যাখ্যান করে - প্রক্রিয়াজাতকরণ অবশ্যই অতিরিক্ত সময় নেয় এবং এক ক্ষেত্রে তাদের একজন কর্মী থাকে, যিনি প্রক্রিয়া পরিচালনা ছাড়া কিছুই করেন না, তবে তার বেতন পরিশোধের খরচ দৃশ্যত তার চেয়ে কম এক্সপোজার যদি তারা অনলাইন গেটওয়ে সত্ত্বেও সিসি সংখ্যা পাস করে।

এই দুটি ক্লায়েন্টগুলি পুনরায় মালিকানার মানগুলি সরবরাহ করছে, বিশেষ করে উন্মুক্ত এবং সফটওয়্যারগুলির মতো আইটেমগুলির জন্য যেখানে প্রতারণামূলক বিক্রয় কোনও প্রকৃত ক্ষতির ফলে আপনার মাইলেজ পরিবর্তিত হবে না তবে এটি অনলাইন গেটওয়ে এর প্রযুক্তিগত দিকগুলির উপরে বিবেচনা করা যেমন বাস্তবায়ন যদি আপনি চান কি সত্যিই।

সম্পাদন করুন: এবং এই উত্তর তৈরি করার পরে আমি একটি সতর্কতা গল্প যোগ করতে চাই এবং এটি একটি ভাল ধারণা ছিল যখন সময় অতীত।

কেন? কারণ আমি এমন একটি পরিচিতির কথা জানি যিনি একই পদ্ধতির সাথে ছিলেন। কার্ডের বিবরণ এনক্রিপ্ট করা সঞ্চিত, ওয়েবসাইটটি এসএসএল দ্বারা অ্যাক্সেস করা হয়েছিল, এবং প্রসেসিংয়ের পরে তা অবিলম্বে মুছে ফেলা হয়েছিল। আপনি নিরাপদ মনে করেন?

না - তাদের নেটওয়ার্কে এক মেশিন একটি কী লগিং ট্রোজান দ্বারা সংক্রামিত হয়েছে। ফলস্বরূপ তারা বিভিন্ন স্কোর ক্রেডিট কার্ড জালিয়াতি করার জন্য উৎস হিসাবে চিহ্নিত করা হয়েছিল - এবং এর ফলে বিপুল পরিমাণ জরিমানা হয়েছিল।

এর ফলে আমি এখন কাউকে ক্রেডিট কার্ডগুলি হ্যান্ডেল করতে পরামর্শ দিই না । পেমেন্ট গেটওয়েগুলি অনেক বেশি প্রতিযোগিতামূলক এবং খরচ কার্যকর হয়ে উঠেছে, এবং জালিয়াতির ব্যবস্থা উন্নত হয়েছে। ঝুঁকি এখন আর মূল্য নেই।

আমি এই উত্তরটি মুছে ফেলতে পারি, কিন্তু আমার মনে হয় একটি সাবধানবাণী হিসাবে সম্পাদনা করা ছেড়ে দেওয়া ভাল।


পুরো প্রক্রিয়া অনেক আছে। এটি করার একক সহজতম উপায় হল পেপ্যালের মতো পরিষেবাগুলি ব্যবহার করা, যাতে আপনি আসলে কোনও ক্রেডিট কার্ডের ডেটা পরিচালনা করবেন না। তারপরেও, আপনার ওয়েবসাইটে ক্রেডিট কার্ড পরিষেবাদি প্রদান করার জন্য অনুমোদন পেতে বেশ কিছু উপাদান রয়েছে। আপনি সম্ভবত আপনার ব্যাঙ্কের সাথে কথা বলবেন এবং যারা আপনার বণিক আইডি ইস্যু করবেন তারা প্রক্রিয়াটি সেটআপ করতে আপনাকে সাহায্য করবে।