Gestione dei dati della carta di credito che non vengono addebitati direttamente

Naviga le tue risposte
4

Ho un cliente che è un rivenditore per pacchetti vacanza. Per anni hanno avuto un modulo di pagamento sul loro sito dove l'utente finale avrebbe riempito i dati della carta di credito e l'informazione è inviata via email al rivenditore. BAD ... Lo so. L'unica sicurezza che avevano implementato era la pagina era SSL.

Il cliente quindi accede al proprio account di grossista e addebita la carta lì.

Come nuovo cliente, abbiamo detto che questo è negativo e deve essere gestito in modo diverso.

Quindi la mia domanda è, quale sarebbe il metodo corretto per memorizzare temporaneamente i dati della carta di credito? O sai di un servizio che i dati completi della carta di credito possono essere passati ma non caricati ed è sicuro, conforme allo standard PCI? Dovrebbero accedere per visualizzare la carta di credito e quindi caricarla tramite il proprio account all'ingrosso.

Non voglio davvero archiviare i dati della carta di credito nel database del loro sito web ... Ho chiesto, chiedendo se il grossista ha fornito loro opzioni di post silenzioso o sono moduli incorporati che possono utilizzare.

Ho guardato in Stripe ma memorizza la carta come un token.

Qualche consiglio è molto apprezzato.

Onestamente penso che tutta questa richiesta del mio (potenziale cliente) sia fuori questione e voglio assicurarmi che la gestiamo correttamente, in modo sicuro e corretto.

    
posta user1447679 11.11.2014 - 21:52
fonte

3 risposte

1

Bene, se il tuo grossista non offre un modo automatico per elaborare i dati, ti sarà difficile non memorizzare i dati della carta di credito. Ciò significa che probabilmente dovrai anche ottenere SAQ-D.

La memorizzazione di un token di una carta non equivale alla memorizzazione dei dettagli della carta. Nel tuo caso dovrai memorizzare il codice PAN e di verifica per tutto il tempo in cui la transazione (in questo caso addebitato dal grossista) non viene effettuata. Memorizzare quei dati è ciò che vuoi evitare. Un token è molto meglio in questo caso. Dovrai comunque stare molto attento a come archiviare questi token, ma dal momento che non archivi dati sensibili CC, non ti è richiesto di ottenere SAQ-D.

    
risposta data 27.11.2014 - 07:42
fonte
0

Sembra che il Customer Information Manager (CIM) di Authorize.Net sia una buona soluzione.

Da link : 

Use Customer Information Manager (CIM) to tokenize and store your customers'
sensitive payment information on our secure servers, simplifying your PCI DSS
compliance as well as the payments process for returning customers and recurring
transactions.
    
risposta data 22.04.2015 - 02:07
fonte
-1

Potrebbero non utilizzare qualcosa come un sagepay (Regno Unito) istituito? tutto ciò che è stato ospitato sul sito di Sagepay non ha archiviato nulla alla fine? Ci sono implicazioni di costo ma ridurrebbe lo scopo in maniera massiccia se tutto fosse esternalizzato.Scusatelo se questo è già stato menzionato o troppo ovvio ma solo un pensiero.

Jim

    
risposta data 22.12.2014 - 16:53
fonte

Leggi altre domande sui tag

Accesso limitato tramite comandi Box e log [chiuso] Un modo sicuro per crittografare una connessione tra 2 client che proteggono sia da avversari attivi che passivi