Memorizzazione delle informazioni della carta di credito: ricerca di una soluzione creativa

4

Recentemente ho riscontrato la necessità di eseguire la fatturazione periodica. Sono estremamente contrario a memorizzare i dati delle carte di credito delle persone e mi rifiuto di rischiare in quella zona.

Sono bloccato tra una pietra e un luogo duro, comunque. L'utilizzo di un gateway nella mia area locale e la valuta sono proibitivi. Fondamentalmente, allo stato attuale, non possiamo fare affari attraverso un gateway. Eppure abbiamo bisogno di una fatturazione ricorrente e la necessità di memorizzare le informazioni della carta di credito è sorta.

Ho pensato di memorizzare i numeri delle carte di credito (crittografati), parzialmente o interamente, quindi di salvare il numero CCV localmente su una macchina non voluta. Per fatturare i clienti, vorrei generare tabelle di fatturazione temporanee e attivare manualmente un modulo per ogni cliente che deve essere fatturato. Inserirò manualmente il CCV e inserirò un modulo nel mio processore di pagamento (non memorizzeranno i dati, sfortunatamente - elaboreranno solo il pagamento).

È un PITA manuale, e sconfigge il punto di automazione, ma è la mia migliore scommessa al di fuori di archiviare i dati a titolo definitivo.

Puoi darmi qualche consiglio sul mio schema?

    
posta Mohamad 18.04.2011 - 00:37
fonte

4 risposte

3

Conosco un po 'la conformità PCI-DSS. Memorizzare il numero CC (PAN) è possibile ma il tuo ambito di conformità, i costi e gli sforzi sarebbero molto alti. Gestione delle chiavi, backup dei dati, nastri, sicurezza fisica e molte altre cose devono essere curate. A seconda del volume delle transazioni all'anno, puoi ottenere una valutazione personale. Tuttavia, se si verifica una violazione dei dati, sarete aperti alle azioni di riparazione, alle multe salate e persino all'abbandono dell'accettazione di CC come commerciante. Quindi il mio suggerimento sarebbe quello di evitare rigorosamente la conservazione CC.

L'utilizzo del gateway di pagamento è sicuramente un'opzione. Un'altra opzione è utilizzare un provider di tokenizzazione. Questa è la tua banca o una società di terze parti che può tenere un CC per te e rilasciare un token che può essere memorizzato nel tuo DB. Per ogni transazione successiva viene utilizzato il token. Tutte le principali banche in Australia e aziende come IPPayments offrono questo tipo di servizio. Chiedi alla tua banca Ci sono anche prodotti disponibili come Voltage Security per fare la tokenizzazione e la gestione delle chiavi in casa.

E infine non conservare mai il numero CVV poiché è esplicitamente proibito. Non dovresti aver bisogno di CVV per i pagamenti ricorrenti. Puoi contrassegnare un pagamento come ricorrente in tutti i principali schemi come Visa e Mastercard. CVV è principalmente per fermare le frodi usando le carte rubate. È molto improbabile che qualcuno che si è registrato per un pagamento ricorrente utilizzi una carta rubata. Quindi il business case per archiviare CVV non dovrebbe esistere.

    
risposta data 18.04.2011 - 13:58
fonte
9

Il tuo piano è una cattiva idea. Se le società delle carte di credito scoprono che si memorizza il codice CVV, anche su una macchina non desiderata, si finisce con una multa e probabilmente si perde l'autorizzazione ad accettare carte di credito.

Dovresti parlare con la tua banca, il responsabile del pagamento o chiunque altro per vedere se hanno una soluzione per la fatturazione ricorrente che puoi utilizzare.

    
risposta data 18.04.2011 - 00:50
fonte
5

L'idea è valida fino alla fine se la crittografia è buona (AES o equiv.) e la chiave non è memorizzata sul server. Ho lavorato per risolvere questo stesso problema e, sfortunatamente, tali soluzioni non sono sufficienti dal punto di vista della responsabilità.

C'è una nuova generazione di servizi disponibili che rispondono a questa domanda in un modo che soddisfa la nuova generazione di avvocati della PITA che hanno escogitato uno schema costoso per la verifica della sicurezza CC che è solo tangenzialmente correlato alla sicurezza reale. Questi sistemi memorizzano le informazioni CC, l'indirizzo di fatturazione ecc. Alla fine e restituiscono un "token" che può essere utilizzato per la fatturazione ricorrente flessibile.

link

link

link

link

    
risposta data 18.04.2011 - 01:22
fonte
4

Fai NON mai memorizzare il CVV2. L'INTERO PUNTO di questo numero è che solo il titolare della carta lo sa.

Con tutti i mezzi memorizzare il numero della carta (ma dare agli utenti l'opzione di non). Cripta il numero della carta così come è memorizzato nel DB e ovviamente assicurati che la tua rete e la tua applicazione siano sicure.

Potresti essere in grado di impostare un pagamento continuo con la società emittente della carta di credito per consentire pagamenti ripetuti, quindi non dovresti aver bisogno di eseguire manualmente la fatturazione periodica, ti suggerirei di esplorare questa opzione . Se questo non è possibile, dovrai presentare le richieste di pagamento senza un valore CVV2 - questo può essere possibile ma probabilmente sarà più costoso.

    
risposta data 18.04.2011 - 10:06
fonte

Leggi altre domande sui tag