Memorizzazione delle informazioni della carta di credito: ricerca di una soluzione creativa

Conosco un po 'la conformità PCI-DSS. Memorizzare il numero CC (PAN) è possibile ma il tuo ambito di conformità, i costi e gli sforzi sarebbero molto alti. Gestione delle chiavi, backup dei dati, nastri, sicurezza fisica e molte altre cose devono essere curate. A seconda del volume delle transazioni all'anno, puoi ottenere una valutazione personale. Tuttavia, se si verifica una violazione dei dati, sarete aperti alle azioni di riparazione, alle multe salate e persino all'abbandono dell'accettazione di CC come commerciante. Quindi il mio suggerimento sarebbe quello di evitare rigorosamente la conservazione CC.

L'utilizzo del gateway di pagamento è sicuramente un'opzione. Un'altra opzione è utilizzare un provider di tokenizzazione. Questa è la tua banca o una società di terze parti che può tenere un CC per te e rilasciare un token che può essere memorizzato nel tuo DB. Per ogni transazione successiva viene utilizzato il token. Tutte le principali banche in Australia e aziende come IPPayments offrono questo tipo di servizio. Chiedi alla tua banca Ci sono anche prodotti disponibili come Voltage Security per fare la tokenizzazione e la gestione delle chiavi in casa.

E infine non conservare mai il numero CVV poiché è esplicitamente proibito. Non dovresti aver bisogno di CVV per i pagamenti ricorrenti. Puoi contrassegnare un pagamento come ricorrente in tutti i principali schemi come Visa e Mastercard. CVV è principalmente per fermare le frodi usando le carte rubate. È molto improbabile che qualcuno che si è registrato per un pagamento ricorrente utilizzi una carta rubata. Quindi il business case per archiviare CVV non dovrebbe esistere.

Il tuo piano è una cattiva idea. Se le società delle carte di credito scoprono che si memorizza il codice CVV, anche su una macchina non desiderata, si finisce con una multa e probabilmente si perde l'autorizzazione ad accettare carte di credito.

Dovresti parlare con la tua banca, il responsabile del pagamento o chiunque altro per vedere se hanno una soluzione per la fatturazione ricorrente che puoi utilizzare.

L'idea è valida fino alla fine se la crittografia è buona (AES o equiv.) e la chiave non è memorizzata sul server. Ho lavorato per risolvere questo stesso problema e, sfortunatamente, tali soluzioni non sono sufficienti dal punto di vista della responsabilità.

C'è una nuova generazione di servizi disponibili che rispondono a questa domanda in un modo che soddisfa la nuova generazione di avvocati della PITA che hanno escogitato uno schema costoso per la verifica della sicurezza CC che è solo tangenzialmente correlato alla sicurezza reale. Questi sistemi memorizzano le informazioni CC, l'indirizzo di fatturazione ecc. Alla fine e restituiscono un "token" che può essere utilizzato per la fatturazione ricorrente flessibile.

link

link

link

link

Fai NON mai memorizzare il CVV2. L'INTERO PUNTO di questo numero è che solo il titolare della carta lo sa.

Con tutti i mezzi memorizzare il numero della carta (ma dare agli utenti l'opzione di non). Cripta il numero della carta così come è memorizzato nel DB e ovviamente assicurati che la tua rete e la tua applicazione siano sicure.

Potresti essere in grado di impostare un pagamento continuo con la società emittente della carta di credito per consentire pagamenti ripetuti, quindi non dovresti aver bisogno di eseguire manualmente la fatturazione periodica, ti suggerirei di esplorare questa opzione . Se questo non è possibile, dovrai presentare le richieste di pagamento senza un valore CVV2 - questo può essere possibile ma probabilmente sarà più costoso.