Come gestire i dati della carta di credito sul mio server [chiuso]

Naviga le tue risposte
0

La mia azienda vuole avviare un sito web basato su abbonamento e lo sto implementando con un gateway di pagamento.

Il problema è che questo gateway di pagamento non mi fornisce strumenti per crittografare le informazioni della carta di credito del cliente prima che raggiunga il nostro server.

Quindi la mia domanda è, come devo gestire queste informazioni molto sensibili?

Non ho intenzione di archiviarlo o altro, basta inviarlo direttamente dal server al gateway di pagamento per la convalida.

Siamo addirittura autorizzati a gestire le informazioni sulla carta di credito in testo semplice?

So che questo è un argomento molto aperto, voglio solo essere diretto da qualche parte in cui posso leggere e capire di più su questo problema.

    
posta WilsonPena 02.12.2017 - 20:47
fonte

2 risposte

4

Ho gestito siti di e-commerce per molti anni e ho lavorato con molti processori di carte di credito. Ti darò la mia risposta per quando qualcuno volesse utilizzare un processore che richiedesse i dati CC per arrivare al nostro server prima di andare al processore:

Abbiamo rifiutato e trovato un altro processore.

Probabilmente non è la risposta che stai cercando. Tuttavia, i processori delle carte di credito sono una dozzina di questi giorni e ci sono molti che hanno API che incoraggiano attivamente buone pratiche di sicurezza. Di conseguenza, stai guardando questo nel modo sbagliato. Non cercare di capire come proteggere questo processo. Basta evitare tutto insieme. Raramente ho avuto clienti che avevano volumi di vendita sufficientemente elevati online per ottenere sconti significativi da qualsiasi processore, quindi anche se si ottiene un processore solo per il proprio sito Web, farlo. Puoi sempre iscriverti con Stripe. Hanno una documentazione straordinaria, un'ottima API progettata intorno alla sicurezza, e il loro prezzo è ragionevole.

Semplicemente non farlo. Non importa nemmeno quello che dicono le regole di conformità PCI. Non c'è motivo di andare con un processore che ti costringa ad esporre i dati sensibili degli utenti in questo modo.

    
risposta data 02.12.2017 - 21:09
fonte
1

In breve, davvero non vuoi gestire i dati.

A meno che tu non sia pesantemente legato a un gateway di pagamento che ti obbliga ad agire come intermediario, dovresti scegliere un'opzione che permetta al gateway di pagamento e al tuo cliente di interagire direttamente.

La maggior parte dei grandi giocatori lo supporta fin da subito ... ci sono due principali modelli ... o si incorpora un iframe dal provider di pagamenti o lo si gestisce reindirizzando al proprio sito e poi di nuovo al proprio una volta il pagamento è completo.

In entrambi i modelli i dati della carta non toccano mai il tuo server e quindi sei (probabilmente) automaticamente conforme allo standard PCI.

Se devi agire come intermediario, allora hai un sacco di lavoro extra. Dovrai assicurarti che nessun dato sia registrato in nessun punto e che siano in atto controlli di accesso adeguati per garantire che nessuno sulla tua rete possa annusare i dati con qualsiasi mezzo. Questo potrebbe potenzialmente includere un'intera rete aziendale a seconda della configurazione.

    
risposta data 02.12.2017 - 21:17
fonte

Leggi altre domande sui tag

Profilo VPN funzionante in Iphone Archiviazione sicura di password in cloud