security sumup - Processori di pagamento:cosa devo sapere se desidero accettare carte di credito sul mio sito web?





login lettore (9)


Ho attraversato questo processo non molto tempo fa con una società per la quale ho lavorato e ho intenzione di rivederla presto con la mia attività. Se hai qualche conoscenza tecnica di rete, non è poi così male. Altrimenti starai meglio usando Paypal o un altro tipo di servizio.

Il processo inizia con l'impostazione di un account commerciante e legata al tuo conto bancario. Potresti voler controllare con la tua banca, perché molte delle principali banche forniscono servizi commerciali. Potresti essere in grado di ottenere offerte, perché sei già un loro cliente, ma in caso contrario, puoi guardarti intorno. Se prevedi di accettare Discover o American Express, questi saranno separati, perché forniscono i servizi mercantili per le loro carte, senza aggirarli. Ci sono anche altri casi speciali. Questo è un processo di applicazione, essere preparati.

Successivamente dovrai acquistare un certificato SSL che puoi utilizzare per proteggere le tue comunicazioni quando i dati della carta di credito vengono trasmessi sulle reti pubbliche. Ci sono molti venditori, ma la mia regola generale è quella di sceglierne uno che sia un marchio in un certo senso. Più sono noti, meglio è probabile che i tuoi clienti ne abbiano sentito parlare.

Successivamente dovrai trovare un gateway di pagamento da utilizzare con il tuo sito. Anche se questo può essere opzionale a seconda di quanto sei grande, ma la maggior parte delle volte non lo sarà. Ne avrai bisogno. I fornitori di gateway di pagamento forniscono un modo per comunicare con l'API di Internet Gateway con cui si comunica. La maggior parte dei fornitori fornisce la comunicazione HTTP o TCP / IP con la propria API. Elaboreranno le informazioni della carta di credito per tuo conto. Due fornitori sono Authorize.Net e PayFlow Pro . Il link che fornisco di seguito ha ulteriori informazioni su altri fornitori.

Ora cosa? Per i principianti ci sono linee guida su ciò che la vostra applicazione deve rispettare per la trasmissione delle transazioni. Durante il processo di configurazione di tutto, qualcuno guarderà il tuo sito o applicazione e si assicurerà che tu stia rispettando le linee guida, come l'uso di SSL e che tu abbia termini d'uso e documentazione politica su ciò che viene usato l'informazione che l'utente ti sta dando per. Non rubare questo da un altro sito. Vieni con il tuo, assumi un avvocato se ne hai bisogno. La maggior parte di queste cose ricade sotto il link PCI Data Security fornito da Michael nella sua domanda.

Se si prevede di memorizzare i numeri delle carte di credito, è meglio essere pronti a mettere in atto alcune misure di sicurezza interne per proteggere le informazioni. Assicurati che il server in cui sono archiviate le informazioni sia accessibile solo ai membri che devono avere accesso. Come ogni buona sicurezza, fai cose a strati. Più strati metti in posizione, meglio è. Se vuoi, puoi usare la sicurezza del tipo fob, come SecurID o eToken per proteggere la stanza in cui si trova il server. Se non ti puoi permettere il percorso del portachiavi, usa il metodo a due chiavi. Consenti a una persona che ha accesso alla stanza di firmare una chiave, che accompagna una chiave che già portano. Avranno bisogno di entrambe le chiavi per accedere alla stanza. Successivamente si protegge la comunicazione al server con le politiche. La mia politica è che l'unica cosa che comunica con la rete è l'applicazione e tali informazioni sono crittografate. Il server non dovrebbe essere accessibile in nessun altro modulo. Per i backup, utilizzo truecrypt per crittografare i volumi in cui verranno salvati i backup. Ogni volta che i dati vengono rimossi o archiviati da qualche altra parte, di nuovo si utilizza TrueCrypt per crittografare il volume su cui si trovano i dati. Fondamentalmente dove mai i dati sono, ha bisogno di essere crittografato. Assicurati che tutti i processi per ottenere i dati conducano percorsi di controllo. usa i registri per accedere alla stanza del server, usa le videocamere se puoi, ecc ... Un'altra misura è crittografare le informazioni della carta di credito nel database. Ciò assicura che i dati possano essere visualizzati solo nell'applicazione in cui è possibile far rispettare chi vede le informazioni.

Io uso pfsense per il mio firewall. Lo eseguo su una scheda flash compatta e ho due server di installazione. Uno è per il failover per la ridondanza.

Ho trovato questo post sul blog di Rick Strahl che ha aiutato moltissimo a capire come si fa l'e-commerce e cosa serve per accettare le carte di credito attraverso un'applicazione web.

Bene, questa risultò essere una lunga risposta. Spero che questi suggerimenti siano d'aiuto.

Questa domanda parla di diversi processori di pagamento e di quanto costano, ma sto cercando la risposta a cosa devo fare se voglio accettare i pagamenti con carta di credito?

Supponiamo di dover memorizzare i numeri delle carte di credito per i clienti, in modo che l'ovvia soluzione di affidarsi al processore di carte di credito per effettuare il sollevamento pesi non sia disponibile.

PCI Data Security , che è apparentemente lo standard per la memorizzazione delle informazioni della carta di credito, ha un sacco di requisiti generali, ma come li si implementa ?

E i venditori, come Visa , che hanno le loro migliori pratiche?

Devo avere l'accesso con il telecomando alla macchina? Che ne dici di proteggerlo fisicamente dagli hacker nell'edificio? O anche se qualcuno ha messo le mani sui file di backup con i file di dati del server SQL su di esso?

E i backup? Ci sono altre copie fisiche di quei dati in giro?

Suggerimento: se ottieni un account commerciante, devi negoziare che ti fanno pagare "interscambio-plus" anziché prezzi a livelli. Con la tariffazione a più livelli, ti addebiteranno tariffe diverse in base al tipo di Visa / MC utilizzato, ad esempio. ti caricano di più per le carte con grandi ricompense ad esse collegate. Interchange più fatturazione significa che si paga solo al processore ciò che Visa / MC addebita loro, oltre a una tariffa fissa. (Amex e Discover addebitano le proprie tariffe direttamente ai commercianti, quindi questo non si applica a quelle carte. Le tariffe Amex saranno comprese nell'intervallo del 3% e Discover potrebbero essere a un minimo dell'1%. l'intervallo del 2%). Questo servizio dovrebbe fare la negoziazione per te (non l'ho usato, questo non è un annuncio, e non sono affiliato con il sito web, ma questo servizio è molto necessario).

Questo post sul blog fornisce un riepilogo completo della gestione delle carte di credito (in particolare per il Regno Unito).

Forse ho sbagliato la domanda, ma sto cercando suggerimenti come questi:

  1. Usa SecurID o eToken per aggiungere un ulteriore livello di password alla casella fisica.
  2. Assicurati che la scatola sia in una stanza con una combinazione di blocco fisico o codice.



Il documento PCI 1.2 è appena uscito. Fornisce un processo su come implementare la conformità PCI insieme ai requisiti. Puoi trovare il documento completo qui:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

Per farla breve, creare un segmento di rete separato per qualsiasi server sarà dedicato alla memorizzazione di informazioni CC (in genere server DB). Isolare i dati il ​​più possibile e assicurarsi che sia presente solo l'accesso minimo necessario per accedere ai dati. Criptalo quando lo immagazzini. Non conservare mai i PAN. Elimina i vecchi dati e ruota le chiavi di crittografia.

Esempio non fare:

  • Non lasciare che lo stesso account che può cercare informazioni generali nel database cerchi informazioni CC.
  • Non mantenere il tuo database CC sullo stesso server fisico del tuo server web.
  • Non consentire il traffico esterno (Internet) nel segmento di rete del database CC.

Esempio Dos:

  • Utilizzare un account di database separato per interrogare le informazioni CC.
  • Non consentire tutto il traffico richiesto al server di database CC tramite firewall / access-list
  • Limitare l'accesso al server CC a un numero limitato di utenti autorizzati.



Come altri hanno già menzionato, il modo più semplice in quest'area è l'utilizzo di Paypal , Google Checkout o Nochex . Tuttavia, se intendi intraprendere una quantità significativa di attività, potresti cercare di "aggiornare" a servizi di integrazione di siti di livello superiore come WorldPay , NetBanx (Regno Unito) o Neteller (Stati Uniti) . Tutti questi servizi sono ragionevolmente facili da configurare. E so che Netbanx offre una comoda integrazione in alcune delle soluzioni di carrello degli acquisti, ad esempio Intershop (perché ne ho scritte alcune). Oltre a ciò, stai cercando un'integrazione diretta con i sistemi bancari (e con i loro sistemi APAX) ma è difficile e a quel punto devi anche dimostrare alle società di carte di credito che gestisci i numeri delle carte di credito in sicurezza (probabilmente non vale la pena considerare se non stai prendendo $ 100k al mese).

Lavorando dal primo all'ultimo, i costi / benefici sono che le prime opzioni sono molto più semplici (più veloci / meno costose) da impostare, in quanto si paga un costo di gestione piuttosto elevato per ogni transazione. quelli successivi sono molto più costosi da configurare, ma a lungo termine si paga meno.

L'altro vantaggio della maggior parte delle soluzioni non dedicate è che non è necessario mantenere i numeri di carta di credito crittografati sicuri. Questo è il problema di qualcun altro :-)




Poniti la seguente domanda: perché vuoi memorizzare i numeri delle carte di credito in primo luogo ? È probabile che tu non lo faccia. In effetti, se li metti in magazzino e riesci a farti rubare uno, potresti avere qualche responsabilità seria.

Ho scritto un'app che memorizza i numeri delle carte di credito (poiché le transazioni sono state elaborate offline). Ecco un buon modo per farlo:

  • Ottieni un certificato SSL!
  • Crea un modulo per ottenere CC # dall'utente.
  • Cripta la parte (non tutta!) Di CC # e memorizzala nel tuo database. (Suggerirei le 8 cifre centrali.) Utilizzare un metodo di crittografia forte e una chiave segreta.
  • Invia il resto del numero CC a chiunque elabori le tue transazioni (probabilmente te stesso) con l'ID della persona da elaborare.
  • Quando si effettua il login in un secondo momento, si digiterà l'ID e la parte inviata di CC #. Il tuo sistema può decodificare l'altra parte e ricombinarlo per ottenere il numero completo in modo da poter elaborare la transazione.
  • Infine, elimina il record online. La mia soluzione paranoica era sovrascrivere il record con dati casuali prima della cancellazione, per rimuovere la possibilità di un undelete.

Sembra un sacco di lavoro, ma non registrando mai un CC # completo, è estremamente difficile per un hacker trovare qualcosa di valore sul proprio server web. Fidati di me, vale la pena.




Assicurati di avere una mano sul lavoro extra e sul budget richiesto per PCI. Il PCI potrebbe richiedere enormi costi di revisione esterna e sforzi / supporto interni. Considera anche le multe / sanzioni che possono essere imposte unilateralmente a te, spesso estremamente sproporzionate rispetto alla scala dell '"ofense".




Tieni presente che l'utilizzo di SSL per inviare un numero di carta da un browser a un server è come coprire il numero della carta di credito con il pollice quando si consegna la carta a un cassiere in un ristorante: il tuo pollice (SSL) impedisce ad altri clienti nel ristorante (la Rete) dal vedere la carta, ma una volta che la carta è nelle mani del cassiere (un server web) la carta non è più protetta dallo scambio SSL, e il cassiere potrebbe fare qualsiasi cosa con quella carta. L'accesso a un numero di carta salvato può essere fermato solo dalla sicurezza sul server web. Cioè, la maggior parte dei furti di carte sulla rete non sono fatti durante la trasmissione, sono fatti rompendo la scarsa sicurezza del server e rubando i database.




Perché preoccuparsi della conformità PCI? Nella migliore delle ipotesi, avrai una percentuale in meno delle tue spese di elaborazione. Questo è uno di quei casi in cui devi essere sicuro che questo è ciò che vuoi fare con il tuo tempo sia in anticipo nello sviluppo che nel tempo per stare al passo con gli ultimi requisiti.

Nel nostro caso, ha più senso usare un gateway di sottoscrizione-salvataggio e associarlo a un account commerciante. Il gateway di sottoscrizione-savy consente di saltare tutta la conformità PCI e non fare altro che elaborare la transazione corretta.

Utilizziamo TrustCommerce come gateway e siamo soddisfatti del loro servizio / prezzo. Hanno il codice per un sacco di lingue che rende l'integrazione abbastanza facile.




C'è molto per l'intero processo. Il solo modo più semplice per farlo è quello di utilizzare servizi simili a paypal, in modo da non poter mai effettivamente gestire i dati delle carte di credito. Oltre a questo, c'è un bel po 'di cose da fare per ottenere l'approvazione di offrire servizi di carte di credito sul tuo sito web. Probabilmente dovresti parlare con la tua banca e le persone che emettono il tuo ID commerciante per aiutarti a configurare il processo.




Ma cos'è questo? Da dove proviene?? C'è qualche indizio nel nome dell'azione su dove posso trovare l'HTML generato allo scopo di modificarlo?

Questo è un action hook . Non sta facendo nulla da solo per dire, ma le funzioni elencate nei commenti si hook ad esso e quindi avvengono quando questa funzione viene attivata. Dice nei commenti che la funzione woocommerce_template_loop_product_thumbnail è la funzione responsabile per ottenere la miniatura. Puoi trovare questa funzione all'interno del plugin Woocommerce. Io uso l'editor di Sublime Text (anche se penso che anche altri lo faranno) per cercare l'intera cartella per quella frase e mi dice esattamente in che file si trova. In questo caso è quella che viene chiamata una funzione collegabile e si trova in woocommerce-template.php . (Si chiama ora wc-template-hooks.php nella versione 2.1+)

Una funzione collegabile significa che si definisce una nuova versione della funzione con lo stesso nome in functions.php del tema

function woocommerce_template_loop_product_thumbnail(){
  echo "apple";
}

Se metti quanto sopra nel tuo functions.php al posto di Woo's woocommerce_template_loop_product_thumbnail() semplicemente la parola apple.

Ho letto l'articolo su "ganci e filtri" su WooCommerce, ma non spiega nulla su dove o come modificarli caso per caso.

Apporterai tutte le modifiche alle funzioni del tuo tema.php e, caso per caso, non è necessario. Tutti i ganci e i filtri si comportano allo stesso modo. Detto questo, non sono la cosa più facile da imparare, quindi abbi pazienza con te stesso. Ho trovato i filtri particolarmente difficili da avvolgere.

In uno spot di auto-promozione gratuita ho scritto una serie di articoli sulle basi degli hook e dei filtri di WordPress (un articolo dice che è per Thematic hooks, ma un hook è un hook!) Che sono tutte le cose che vorrei che le persone avessero detto io all'inizio della mia carriera in WordPress.





security e-commerce pci-dss