Pagamento sicuro con carta di credito online su una scala temporale ritardata

3

Sono responsabile della sicurezza per un piccolo negozio online che desidera richiedere informazioni sulla carta di credito, ma non addebitare effettivamente il cliente fino a circa un mese dopo l'acquisto - questo non può essere evitato.

Tuttavia, sembra essere un incubo ai fini della conformità. Sembra come se avessimo bisogno di memorizzare i dati della carta di credito per un po 'di tempo fino a quando non addebitiamo il cliente, eventualmente richiedendo la conformità di pci-dss. Non abbiamo alcun uso per i numeri dopo quel mese-lungo periodo.

Questo setup implica necessariamente la conformità di pci-dss? In caso contrario, quali alternative ci sono per gestire in modo sicuro tali informazioni su questa scala temporale?

    
posta Everyone_Else 26.08.2016 - 08:33
fonte

2 risposte

3

PCI-DSS entra in gioco nel tuo scenario. Il tempo è irrilevante. È la memorizzazione del PAN che innesca la complessità del PCI-DSS.

Se vuoi evitarlo, crea un approccio diverso. Ad esempio, i processori di pagamento possono mettere in attesa i fondi per un periodo di tempo, quindi elaborare il pagamento completo.

Vorrei parlare con i numerosi processori di pagamento disponibili per vedere cosa possono fare per la tua organizzazione.

    
risposta data 26.08.2016 - 08:57
fonte
1

Ci sono un sacco di soluzioni disponibili sul mercato che le compagnie delle carte di credito supportano pagamenti "ricorrenti" e PUOI avere un pagamento "ricorrente" che si attiva solo una volta. Come suggerito sopra, la CHIAVE consiste nel cancellare una piccola transazione con carta di credito al tempo concordato - il momento in cui l'acquirente presenta per la prima volta le informazioni sulla carta di credito online - DEVI controllare la carta in questo momento in quanto non ti è permesso di memorizzare il CVV ed è una buona idea per essere in grado di dimostrare che hai cancellato la transazione iniziale in una serie ricorrente CON il CVV (che NON memorizzi ma DID cancella sulla prima transazione). Trova un gateway di pagamento che supporti le transazioni ricorrenti (Paypal e Authorize.net lo fanno entrambi). Ti suggerirei di utilizzare un servizio che "converti" le informazioni sulla carta: memorizzano le informazioni sulla carta per te e ti danno un token: puoi archiviare in sicurezza quel token con scarso impatto sulla conformità PCI, quando vuoi eseguire un altro addebito su tale stessa carta, si presenta il token e il gateway cerca le informazioni effettive della carta di credito memorizzate contro il token e produce l'addebito per te. (Sia stripe che braintree fanno questo, e molti altri servizi stanno 'lavorando su di esso')

    
risposta data 26.08.2016 - 21:16
fonte

Leggi altre domande sui tag