security - भुगतान प्रोसेसर-मुझे यह जानने की क्या ज़रूरत है कि मैं अपनी वेबसाइट पर क्रेडिट कार्ड स्वीकार करना चाहता हूं?




e-commerce pci-dss (6)

अपने आप से निम्नलिखित प्रश्न पूछें: आप क्रेडिट कार्ड नंबरों को पहली जगह क्यों स्टोर करना चाहते हैं ? संभावना है कि आप नहीं करते हैं। वास्तव में, यदि आप उन्हें स्टोर करते हैं और चोरी करते हैं, तो आप कुछ गंभीर देयता देख सकते हैं।

मैंने एक ऐप लिखा है जो क्रेडिट कार्ड नंबर स्टोर करता है (क्योंकि लेन-देन ऑफ़लाइन संसाधित किए गए थे)। ऐसा करने का एक अच्छा तरीका यहां दिया गया है:

  • एक एसएसएल प्रमाणपत्र प्राप्त करें!
  • उपयोगकर्ता से सीसी # प्राप्त करने के लिए एक फॉर्म बनाएँ।
  • सीसी # के भाग (सभी नहीं!) एन्क्रिप्ट करें और इसे अपने डेटाबेस में संग्रहीत करें। (मैं मध्य 8 अंकों का सुझाव दूंगा।) एक मजबूत एन्क्रिप्शन विधि और एक गुप्त कुंजी का उपयोग करें।
  • प्रक्रिया के लिए व्यक्ति की आईडी के साथ जो कोई भी आपके लेन-देन (संभवतः स्वयं) को संसाधित करता है, उसके शेष सीसी # को मेल करें।
  • जब आप बाद में लॉग इन करते हैं, तो आप आईडी और टाइप सीसी # के मेल-आउट हिस्से में टाइप करेंगे। आपका सिस्टम दूसरे भाग को डिक्रिप्ट कर सकता है और पूर्ण संख्या प्राप्त करने के लिए पुनः संयोजित कर सकता है ताकि आप लेनदेन को संसाधित कर सकें।
  • अंत में, ऑनलाइन रिकॉर्ड हटा दें। मेरा पागल समाधान एक अनावृत्त की संभावना को दूर करने के लिए हटाने से पहले यादृच्छिक डेटा के साथ रिकॉर्ड को ओवरराइट करना था।

यह बहुत सारे काम की तरह लगता है, लेकिन कभी भी एक पूर्ण सीसी # कहीं भी रिकॉर्ड नहीं करके, आप अपने वेबसर्वर पर किसी भी हैकर को मूल्य के कुछ भी ढूंढना बेहद मुश्किल बनाते हैं। मेरा विश्वास करो, यह दिमाग की शांति के लायक है।

यह प्रश्न अलग-अलग भुगतान प्रोसेसर और उनकी लागत के बारे में बात करता है, लेकिन अगर मैं क्रेडिट कार्ड भुगतान स्वीकार करना चाहता हूं तो मुझे जवाब देने की क्या ज़रूरत है?

मान लें कि मुझे ग्राहकों के लिए क्रेडिट कार्ड नंबर स्टोर करने की आवश्यकता है, ताकि भारी उठाने के लिए क्रेडिट कार्ड प्रोसेसर पर भरोसा करने का स्पष्ट समाधान उपलब्ध न हो।

पीसीआई डेटा सिक्योरिटी , जो स्पष्ट रूप से क्रेडिट कार्ड की जानकारी संग्रहीत करने के लिए मानक है, में सामान्य आवश्यकताओं का एक गुच्छा है, लेकिन कोई उन्हें कैसे लागू करता है ?

और Visa तरह विक्रेताओं के बारे में क्या, जिनके पास अपनी खुद की सर्वोत्तम प्रथाएं हैं?

क्या मुझे मशीन पर कीफोब पहुंच की आवश्यकता है? इमारत में हैकर्स से शारीरिक रूप से इसकी रक्षा करने के बारे में क्या? या यहां तक ​​कि अगर किसी को बैकअप फ़ाइलों पर एसक्यूएल सर्वर डेटा फाइलों के साथ हाथ मिला तो क्या होगा?

बैकअप के बारे में क्या? क्या उस डेटा की अन्य भौतिक प्रतियां आसपास हैं?

युक्ति: यदि आपको एक व्यापारी खाता मिलता है, तो आपको बातचीत करनी चाहिए कि वे आपको टायर किए गए मूल्य निर्धारण के बजाय "इंटरचेंज-प्लस" चार्ज करते हैं। टियर किए गए मूल्य निर्धारण के साथ, वे किस प्रकार के वीजा / एमसी का उपयोग किया जाता है, इस आधार पर वे आपको अलग-अलग दरों का शुल्क लेंगे - यानी। वे आपको उनसे जुड़े बड़े पुरस्कार वाले कार्ड के लिए अधिक शुल्क लेते हैं। इंटरचेंज प्लस बिलिंग का मतलब है कि आप केवल प्रोसेसर का भुगतान करते हैं जो वीजा / एमसी उन्हें चार्ज करता है, साथ ही एक फ्लैट शुल्क भी। (एमेक्स और डिस्कवर सीधे अपनी मुद्राओं को व्यापारियों के लिए चार्ज करते हैं, इसलिए यह उन कार्डों पर लागू नहीं होता है। आपको अमेक्स दरें 3% रेंज में मिलेंगी और डिस्कवर 1% जितनी कम हो सकती है। वीज़ा / एमसी में है 2% रेंज)। यह सेवा आपके लिए वार्तालाप करना है (मैंने इसका उपयोग नहीं किया है, यह कोई विज्ञापन नहीं है, और मैं वेबसाइट से संबद्ध नहीं हूं, लेकिन इस सेवा की बहुत आवश्यकता है।)

यह ब्लॉग पोस्ट क्रेडिट कार्ड (विशेष रूप से यूके के लिए) को संभालने का पूरा रंडाउन देता है।

शायद मैंने गलत सवाल का जवाब दिया, लेकिन मैं इस तरह की युक्तियों की तलाश में हूं:

  1. भौतिक बॉक्स में अतिरिक्त पासवर्ड परत जोड़ने के लिए SecurID या eToken का उपयोग करें।
  2. सुनिश्चित करें कि बॉक्स भौतिक लॉक या कीकोड संयोजन वाले कमरे में है।

जैसा कि अन्य लोगों ने उल्लेख किया है कि इस क्षेत्र में सबसे आसान तरीका Paypal , Google चेकआउट या Nochex के उपयोग के साथ है। हालांकि यदि आप व्यवसाय की एक महत्वपूर्ण राशि का इरादा रखते हैं तो आप वर्ल्डपे , नेटबैंक्स (यूके) या नेटेलर (यूएस) जैसे उच्च स्तरीय साइट एकाग्रता सेवाओं को "अपग्रेड करना" चाहेंगे । इन सभी सेवाओं को स्थापित करने के लिए काफी आसान हैं। और मुझे पता है कि Intershop शेल्फ़ शॉपिंग कार्ट समाधानों में से कुछ में Intershop (क्योंकि मैंने उनमें से कुछ लिखा है) में सुविधाजनक एकीकरण प्रदान करता है। इसके अलावा आप बैंकिंग सिस्टम (और उनके एपीएक्स सिस्टम) के साथ सीधे एकीकरण को देख रहे हैं लेकिन यह मुश्किल है और उस समय आपको क्रेडिट कार्ड कंपनियों को साबित करने की भी आवश्यकता है कि आप क्रेडिट कार्ड नंबरों को सुरक्षित रूप से प्रबंधित कर रहे हैं (शायद इस पर विचार करने योग्य नहीं है आप प्रति माह $ 100k मूल्य नहीं ले रहे हैं)।

पहली बार लागत / लाभ से पहले कार्य करना यह है कि प्रारंभिक विकल्प सेट अप करने के लिए बहुत आसान (तेज / सस्ता) होते हैं, जिससे आप प्रत्येक लेनदेन के लिए काफी अधिक हैंडलिंग शुल्क का भुगतान करते हैं। बाद में स्थापित करने के लिए बहुत अधिक महंगा है लेकिन आप लंबे समय तक कम भुगतान करते हैं।

गैर समर्पित समाधानों का अन्य लाभ यह है कि आपको एन्क्रिप्टेड क्रेडिट कार्ड नंबर सुरक्षित रखने की आवश्यकता नहीं है। किसी और की समस्या है :-)


पीसीआई 1.2 दस्तावेज़ अभी बाहर आया। यह आवश्यकताओं के साथ पीसीआई अनुपालन को कार्यान्वित करने के लिए एक प्रक्रिया देता है। आप यहां पूरा दस्तावेज़ ढूंढ सकते हैं:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

लंबी कहानी छोटी, सीसी जानकारी (आमतौर पर डीबी सर्वर) को संग्रहीत करने के लिए समर्पित सर्वर के लिए एक अलग नेटवर्क सेगमेंट बनाएं। जितना संभव हो सके डेटा को अलग करें, और सुनिश्चित करें कि डेटा तक पहुंचने के लिए आवश्यक न्यूनतम पहुंच मौजूद है। इसे स्टोर करते समय इसे एन्क्रिप्ट करें। पैन की दुकान कभी न रखें। पुराने डेटा को पुर्ज करें और अपनी एन्क्रिप्शन कुंजी घुमाएं।

उदाहरण मत करो:

  • उसी खाते को न दें जो डेटाबेस में सामान्य जानकारी को सीसी जानकारी देख सके।
  • अपने सीसी डेटाबेस को उसी वेब सर्वर पर अपने वेब सर्वर के रूप में न रखें।
  • अपने सीसी डेटाबेस नेटवर्क सेगमेंट में बाहरी (इंटरनेट) यातायात की अनुमति न दें।

उदाहरण डॉस:

  • सीसी जानकारी पूछने के लिए एक अलग डेटाबेस खाते का उपयोग करें।
  • फायरवॉल / एक्सेस-सूचियों के माध्यम से सीसी डेटाबेस सर्वर के लिए आवश्यक यातायात के सभी को अस्वीकार करें
  • अधिकृत उपयोगकर्ताओं के सीमित सेट पर सीसी सर्वर तक पहुंच प्रतिबंधित करें।

पीसीआई अनुपालन के साथ परेशान क्यों ?? सबसे अच्छा आप अपनी प्रसंस्करण शुल्क से एक प्रतिशत का एक अंश दाढ़ी देंगे। यह उन मामलों में से एक है जहां आपको यह सुनिश्चित करना होगा कि आप अपने समय के साथ विकास के समय और नवीनतम आवश्यकताओं को ध्यान में रखते हुए अपने समय के साथ क्या करना चाहते हैं।

हमारे मामले में, यह सदस्यता-savy गेटवे का उपयोग करने के लिए सबसे अधिक समझ में आया और एक व्यापारी खाते के साथ जोड़ी। सब्सक्रिप्शन-सेवी गेटवे आपको सभी पीसीआई अनुपालन को छोड़ने और लेनदेन को उचित तरीके से संसाधित करने के अलावा कुछ भी नहीं करने की अनुमति देता है।

हम ट्रस्ट कॉमर्स का उपयोग हमारे गेटवे के रूप में करते हैं और उनकी सेवा / मूल्य निर्धारण से खुश हैं। उनके पास भाषाओं की एक गुच्छा के लिए कोड है जो एकीकरण को बहुत आसान बनाता है।


पूरी प्रक्रिया में बहुत कुछ है। ऐसा करने का सबसे आसान तरीका पेपैल की तरह सेवाओं का उपयोग करना है, ताकि आप वास्तव में किसी भी क्रेडिट कार्ड डेटा को संभालने में सक्षम न हों। इसके अलावा, आपकी वेबसाइट पर क्रेडिट कार्ड सेवाओं की पेशकश करने के लिए अनुमोदित होने के लिए बहुत सी चीजें हैं। आपको शायद अपने बैंक के साथ बात करनी चाहिए, और वे लोग जो आपकी मर्चेंट आईडी जारी करते हैं ताकि प्रक्रिया को स्थापित करने में आपकी मदद मिल सके।


मैं एक गैर-तकनीकी टिप्पणी जोड़ना चाहता हूं जिसके बारे में आप सोचना चाहें

मेरे कई क्लाइंट ई-कॉमर्स साइट चलाते हैं, जिनमें एक जोड़े शामिल हैं जो मामूली बड़े स्टोर हैं। उनमें से दोनों, जबकि वे निश्चित रूप से एक भुगतान गेटवे लागू कर सकते हैं, वे भी चुनते हैं, वे सीसी नंबर लेते हैं, इसे अस्थायी रूप से ऑनलाइन एन्क्रिप्ट किया जाता है और इसे मैन्युअल रूप से संसाधित करता है।

वे ऐसा करते हैं क्योंकि धोखाधड़ी और मैन्युअल प्रसंस्करण की उच्च घटनाओं से उन्हें ऑर्डर भरने से पहले अतिरिक्त चेक लेने की अनुमति मिलती है। मुझे बताया गया है कि वे अपने सभी लेन-देन का 20% से अधिक अस्वीकार करते हैं - प्रसंस्करण मैन्युअल रूप से निश्चित रूप से अतिरिक्त समय लेता है और एक मामले में उनके पास एक कर्मचारी होता है जो लेनदेन की प्रक्रिया के अलावा कुछ भी नहीं करता है, लेकिन उसका वेतन चुकाने की लागत उनके मुकाबले कम है एक्सपोजर अगर वे ऑनलाइन गेटवे के बावजूद सीसी संख्या पास कर चुके हैं।

ये दोनों ग्राहक पुनर्विक्रय मूल्य के साथ भौतिक सामान वितरित कर रहे हैं, इसलिए विशेष रूप से उजागर किए जाते हैं और ऐसे सॉफ़्टवेयर जैसे आइटम जहां धोखाधड़ी की बिक्री का कोई वास्तविक नुकसान नहीं होता है, आपका माइलेज भिन्न होगा, लेकिन ऑनलाइन गेटवे के तकनीकी पहलुओं के ऊपर विचार करना उचित है अगर ऐसा करना वास्तव में आप चाहते हैं।

संपादित करें: और इस उत्तर को बनाने के बाद से मैं एक सावधानीपूर्वक कहानी जोड़ना चाहता हूं और कहूंगा कि समय बीत चुका है जब यह एक अच्छा विचार था।

क्यूं कर? क्योंकि मुझे एक और संपर्क पता है जो एक समान दृष्टिकोण ले रहा था। कार्ड विवरण एन्क्रिप्टेड संग्रहीत किए गए थे, वेबसाइट को एसएसएल द्वारा एक्सेस किया गया था, और प्रोसेसिंग के तुरंत बाद नंबर हटा दिए गए थे। आपको लगता है सुरक्षित?

नहीं - उनके नेटवर्क पर एक मशीन एक महत्वपूर्ण लॉगिंग ट्रोजन द्वारा संक्रमित हो गई है। नतीजतन उन्हें कई स्कोर क्रेडिट कार्ड फोर्जरी के स्रोत के रूप में पहचाना गया - और इसके परिणामस्वरूप बड़े जुर्माना से मारा गया।

इसके परिणामस्वरूप अब मैं कभी भी क्रेडिट कार्ड को संभालने की सलाह नहीं देता हूं। भुगतान गेटवे तब से अधिक प्रतिस्पर्धी और लागत प्रभावी बन गए हैं, और धोखाधड़ी के उपायों में सुधार हुआ है। जोखिम अब इसके लायक नहीं है।

मैं इस जवाब को हटा सकता हूं, लेकिन मुझे लगता है कि एक चेतावनी कहानी के रूप में संपादित छोड़ना सबसे अच्छा है।