Memorizzazione dei dati della carta di credito per conto dei clienti: e trasferimento dei dati in seguito

5

Sto sviluppando un'applicazione web per hotel che inviano offerte agli hotel degli ospiti. Desidero memorizzare i dati della carta di credito dell'ospite in modo sicuro, tramite un servizio di terze parti poiché non voglio implementare personalmente una soluzione conforme PCI.

Non voglio (e non posso) elaborare i pagamenti, poiché ogni hotel ha il proprio gateway di pagamento e elaborerà i pagamenti in seguito. Tuttavia dovremmo dare a ciascun hotel la possibilità di accedere ai dati della carta di credito dietro accettazione dell'offerta da parte degli ospiti. Gli hotel devono eseguire controlli antifrode (ad esempio 1 transazione $) o introdurre i dati cc nel loro sistema software di pagamento.

Vorrei capire come questo flusso di lavoro potrebbe essere raggiunto: la maggior parte dei servizi online offre la "tokenizzazione" come soluzione di archiviazione.

Il che sembra buono, ma non so come inviare le informazioni della carta agli hotel. Mi sembra che la tokenizzazione sia utilizzata per eseguire successivamente la transazione, cosa che non posso fare per conto degli hotel. Inoltre, una volta tokenizzato, mi sembra che i dati non possano essere recuperati. Ogni hotel deve essere in grado di vedere e utilizzare effettivamente i dati cc dei suoi ospiti.

Qualsiasi aiuto e / o riferimento a un fornitore adatto è benvenuto.

    
posta Glasnhost 22.06.2013 - 19:10
fonte

2 risposte

5

Se tocchi i dati del titolare della carta, anche se solo per riceverli e immediatamente li trasmettono altrove, devi preoccuparti di PCI. (Forse non direttamente - se non stai pagando te stesso, non lo hai come una responsabilità contrattuale ... ma i commercianti che fanno devono assicurarti, come fornitore di servizi di terze parti, sono conformi.)

Un servizio di tokenizzazione consente solo di ridurre il numero di sistemi nell'ambito, estraendo l'archiviazione dall'equazione; non ti permette di sfuggire completamente al PCI. Dovresti creare il tuo flusso di lavoro per distribuire i token a terzi e autorizzarli (strongmente!) A visualizzare i numeri rico- nosciuti; e questo sarebbe certamente soggetto a tutti i rigori del PCI.

I commercianti evitano di essere trascinati in ambito PCI lasciando che un processore di pagamenti gestisca l'intero flusso di dati dei titolari di carta - reindirizzando l'utente nel sito Web del processore quando è il momento di inserire il numero di carta e reindirizzando verso la fine. Non sono a conoscenza di alcun servizio simile a un processore di pagamenti che prenderà quei dettagli per te e, invece di fare una transazione, li consegna a un merchant party separato.

Il tuo modello è intrinsecamente piuttosto rischioso. I tuoi commercianti eseguiranno le transazioni iniziali di Card Not Present senza il codice di sicurezza (CVV2 et al) o 3-D Secure (VbV et al) in questo flusso di lavoro. Questo mette molta responsabilità sulle spalle del commerciante e ti mette a rischio di divertimento legale se c'è qualcosa di sbagliato nei tuoi sistemi.

    
risposta data 22.06.2013 - 20:53
fonte
2

Il mio primo pensiero: se si utilizza una terza parte per l'archiviazione delle informazioni CC, ma si ha la possibilità di recuperare le informazioni CC da quel provider, sarebbe in realtà equivalente a memorizzare i dati da soli.

La tokenizzazione è utilizzata esattamente così avrai "accesso" al CC (così puoi creare un addebito), ma non puoi vedere le informazioni CC stessa.

    
risposta data 22.06.2013 - 20:17
fonte

Leggi altre domande sui tag