Memorizzazione di carte di credito per pagamenti automatici?

Ci sono molti modi diversi in cui il PCI influisce su ciò che fai; Indicherei gli standard di sicurezza dei dati (PCI-DSS). Tra le altre cose, richiedono un'autenticazione strong per chiunque acceda al sistema da remoto e hanno una vasta gamma di restrizioni sul tipo di dati che è possibile conservare.

Non pensare nemmeno a immagazzinare le carte di credito senza capire il PCI.

Ad alti livelli di vendite, dovrai essere controllato da una terza parte accreditata, e le verifiche possono essere piuttosto rigide, quindi inizia a documentarti in anticipo con questo in mente.

Ti riferisci alla conformità PCI (Payment Card Industry): link

Più eventuali requisiti legali per l'area in cui opera la tua attività.

Come hanno detto Steve e SteveS, l'archiviazione delle carte di credito potrebbe far cadere il tuo business sotto PCI-DSS. Senza la corretta infrastruttura già esistente, questo può essere un compito monumentale. Ecco alcune cose che mi vengono in mente:

• La trasmissione delle informazioni della carta di credito deve essere crittografata.
• Le reti e ogni server / workstation sulla rete richiedono un firewall attivo e IDS.
• Le workstation e i server richiedono l'antivirus.
• Le password devono essere cambiate ogni 90 giorni.
• L'accesso alle macchine sulla rete deve essere limitato.

Questa è solo una versione molto breve di una lista molto lunga, la versione completa è la seguente: link . Esiste anche training PCI , che può aiutarti a capire meglio i requisiti PCI. Ci sono consulenti specializzati nella conformità PCI, si potrebbe voler verificare con altre aziende o società di controllo della sicurezza IT nell'area per eventuali raccomandazioni. Buona fortuna.

Suggerirei di utilizzare PayPal Pagamenti su sito web Pro ospitati in combinazione con le transazioni di riferimento tramite l'API DoReferenceTransaction.

Pagamenti su sito web Pro Hosted ti consente di incorporare il modulo di pagamento PayPal in un iframe sul tuo sito (l'opzione "Paga con PayPal" può essere disattivata su richiesta). Inoltre, utilizzando l'API di DoReferenceTransaction è possibile ribaltare un utente in qualsiasi pianificazione semplicemente facendo riferimento a un ID transazione precedente (fino a tre mesi fa).
La bellezza di questo è che non sarà necessario memorizzare un singolo pezzo di dati personali identificabili ad eccezione di un ID transazione PayPal.

Vedere link
così come link

Avresti comunque bisogno di essere (un po ') conforme PCI, ma di gran lunga non tanto quanto con un normale account commerciante direttamente integrato nel tuo sito.

Soprattutto senza alcuna esperienza precedente sarebbe saggio lasciare semplicemente che qualcun altro si preoccupi di questo.

Suggerirei di non eseguire il rollover della propria soluzione qui. Utilizzare le API fornite da Authorize.Net e altri per implementare questa funzionalità.

Come altri commentatori hanno sottolineato, la memorizzazione dei numeri delle carte di credito dovrebbe essere evitata se possibile.

Se stai utilizzando Authorize.net per gestire le transazioni con carta di credito, dovresti esaminare ARB ( Automated Recurring Billing) e CIM (Gestione delle informazioni del cliente, queste offerte facoltative ti consentono di configurare gli account dei clienti che collega al tuo sistema tramite un ID cliente in modo da poter archiviare i dati sensibili dei clienti da remoto e pianificare le transazioni future, senza dover memorizzare numeri di carta di credito o indirizzi di fatturazione.

Il metodo più efficiente in termini di costi per archiviare le informazioni della carta di credito rispettando la conformità PCI senza un sacco di lavoro e sforzi sarebbe quello di utilizzare i servizi AWS di Amazon. Hanno appena soddisfatto i requisiti PCI nel 2010.

Dai un'occhiata qui:

link

Questo è il metodo più semplice che conosca per l'archiviazione delle informazioni sulla carta di credito per la tua attività.