关于存储详细信息,我需要遵循任何标准吗?我们已经接受信用卡已有多年了,但是一旦使用完毕,我们通常会丢弃它们的详细信息。我们的客户要求我们存储他们的详细信息,以便他们不必每月手动支付订阅费用。
无法选择使用PayPal来使用其订阅。我们必须存储它们,并且我需要确保存储是安全的!
#1 楼
您将需要(紧随其后)并最好超过PCI DSS标准。这绝对不是一件容易的事,也不是一件容易的事。 。它不仅仅具有SSL和加密数据库中的信息。您还必须监视访问,检测入侵,建立适当的系统,这些系统可以在发生漏洞时仅通知受影响的人(并确定哪些数据可能遭到泄露)等。是对服务器,网络等的物理访问。这意味着在您拥有的物理LAN也受到保护的服务器上不共享的锁定机柜。合规性不会便宜或容易。真正地,请尽一切可能将其转移给第三方。除非您说每月要进行数十万笔交易(在此处插入您的货币),否则仅承担责任就不值得冒险。在这种情况下,您节省的费用可能证明有足够的人才来实施和监视存储信息的系统。您将需要:
系统程序员(您将需要内核和文件系统级审核挂钩)
IDS / IPS专家(除非您喜欢供应商锁定)
24/7/365人员可以监视专家设计的系统所生成的警报。这些人并不便宜,他们决定拔掉账单插头或报告您使用的算法中的错误。非常便宜。
#2 楼
永远不要存储信用卡详细信息。您只是在准备秋天,任何体面的支付网关都将允许您使用令牌进行重复交易,而无需存储信用卡详细信息。评论
+1表示永不将CC储存在您的资料库中。我们的支付网关提供商现在存储所有这些信息,这极大地减轻了我们的安全风险。
–米尔纳
10年7月16日在12:37
例如,Authorize.net客户信息管理器(CIM)就是其中一种产品。 …您可以存储它们,但是它们永远都不安全。最后,您将支付服务将给您带来的声誉损失,销售损失,处理器罚款以及数据泄露引起的任何诉讼所造成的损失。
–惨败实验室
2013年6月23日20:07
#3 楼
您可以在“支付卡行业合规性指南”网站上找到许多所需的答案。他们的“链接”页面特别有用。最好的建议是让第三方处理此存储。
评论
我看过这种PCI东西已经有好几年了,却从不知道它到底是什么。谢谢。
–马克·亨德森(Mark Henderson)
10年7月16日在6:13
#4 楼
您的3rd Party Merchant是否不包括连续信用卡付款选项-英国这里的大多数主要付款方式(DataCash,RBS World Pay等)都可以。向他们发送一次“卡详细信息”,并要求获得CCC授权(如果我没记错的话,需要包括预期的时间表和正常金额),然后您会从他们那里收到令牌。然后,每个月/无论您用令牌轮询商人什么,他们都会为您处理后续的交易-通常也有一些设施可以为可变的临时请求设置这些交易。您这方面的关键要求是在付款之前(通常至少需要10天)通知客户。这样,您就不会在任何地方存储抄送详细信息,这一切由满足要求的人。
这类似于在卡上进行预授权,因此您不必存储信用卡,只需存储来自商家的令牌即可根据需要调用。
#5 楼
我们必须存储它们,并且我需要确保存储安全!
一个问题:为什么?
我之所以只提出这一要求,是因为我必须亲自处理PCI,并且要跟上它是很痛苦的。即使我的日常工作使我们成为PCI合规性要求最低的梯级,但仍有很多工作要做。加密,最低特权注意事项,服务器操作系统安全性,内部网络安全性,边界安全性,第三方审核...等等,这些都是非常重要的。而且即使我们不存储信用卡信息也是如此!
(旁注:如果您正在进行电子商务,则即使不存储CC数据,也必须符合PCI。现在就不抱怨了,您还算幸运,它还没有咬伤您。)
让处理器来处理它。我们使用Authorize.net,它们具有出色的API,因此我们可以构建自己的自定义前端,但它们负责存储和处理实际的付款。如果我们想设置重复计费,他们有一个存储信息的系统。老实说,我对他们的信任远胜于对自己的信任。
#6 楼
正如其他人所述,您正在寻找PCI-DSS。另外,正如其他人提到的那样,对于小型网站而言,合规性的成本可能会高得惊人。我们必须存储它们,我需要确保存储安全!您可以在本地存储一个标识客户信用卡信息的ID。在您的付款网关上。我不确定PayPal是否提供此选项,但是还有其他支付网关可以使用。 -DSS要求。到目前为止,最简单的合规方式是不获取任何抄送数据(即:直接将付款表单过帐到付款网关)。
#7 楼
诸如http://chargify.com/之类的服务在现有支付网关的顶部提供了额外的一层。他们可能会提供各种方式来为您存储信用卡,执行定期付款,甚至为您创建报告。这将使您规避整个责任和PCI合规性问题。我所关心的是,如果有一天您想更改供应商,商家帐户或网关。您如何带动10,000名客户?他们是否交出信用卡数据库?是否可以与竞争对手合作来转移信用卡信息?
我对此表示怀疑。如果您更改提供商,则您可能必须要求所有客户重新提交其账单信息。这是一个小观点,赞成您自己存储信用卡信息。仅当您将拥有大量客户和大量收入时,才可能值得。我很想听到其他人对这个特殊难题的想法。
评论
这是一个很好的观点,我没有想到这一点。我们已经使用SecurePay大约5-6年了,对它们没有任何担忧,所以我认为我们会坚持使用它们,但是谁知道未来会怎样...
–马克·亨德森(Mark Henderson)
2010年7月30日在5:07
#8 楼
我的代表没有足够的意见或评论,所以这是一个新的答案。正如zhaph所指出的,许多商户公司都提供定期付款系统,由他们为您处理存储。我们一直在对不愿使用PayPal的所有客户使用Authorize.net,并且运行良好(我们唯一的大抱怨是API密钥每6个月重置一次,因此他们不愿意发生这种情况时通知您,因此该页面将停止工作)。他们的API基于XML,您几乎可以在每种语言中找到包装器。
#9 楼
请注意,如果您最终决定将信用卡信息存储在自己的数据库中,则在任何情况下都不应存储3位数字的信用卡安全码。卡协会严格禁止这样做。顺便说一句,您不需要卡安全码即可进行交易。它提高了欺诈检测率,但是如果您与客户之间存在持续的关系,则不需要使用它。 (即使您认为自己需要它,也无法存储。无论如何。)
我也赞同其他建议,以不存储信息。 Authorize.Net的客户信息管理器易于使用且价格便宜。对于您来说,使用它会便宜很多,而不是招致在您自己的服务器上存储信息所固有的PCI成本。
#10 楼
如果要将信用卡存储在数据库中,则加密是关键。您还希望(或可能需要)让第三方进行例行合规性测试,以确保您的系统能够正常使用。评论
但是不要将抄送存储在数据库中。别。
– dimo414
2010年7月17日在9:53
加密仅仅是开始。去下载适用的SAQ(自我评估问卷)pcisecuritystandards.org/merchants/self_assessment_form.php,然后开始弄清楚数据库加密远远不在需求列表之列。泄露信用卡凭证的方法有很多,甚至还没有涉及到与信用卡存储有关。
–惨败实验室
2013年6月23日20:14
评论
嗯,我们已经完成了一半,因为我们代表客户处理敏感信息(已锁定服务器和DMZ上的入侵检测和IPSec)。我会读得很好,谢谢。
–马克·亨德森(Mark Henderson)
10年7月16日在6:12
@Farseeker-除了防止非法访问外,最重要的部分是检测到它并找出可能受到危害的内容以及需要迅速通知谁。请注意,这还包括未经授权地复制支持数据库的文件。
– Tim Post
10年7月16日在6:27
即使不永久存储,您现在也要处理信用卡数据,这意味着您需要遵守PCI DSS。
–斯蒂芬·詹宁斯(Stephen Jennings)
2010年7月18日,0:39
@Stephen-关于PCI,处理和存储是完全独立的。处理只是意味着将一些数据发布到网关并等待响应。存储是蠕虫的独特罐头。
– Tim Post
2010年7月18日在7:19
PCI DSS要求3.2指出,即使经过加密,也无法存储跟踪和验证码,即使已加密,也包括所有日志,包括数据库的事务日志。
–雷·里菲尔(Leigh Riffel)
2010年7月19日在15:14