Przechowywanie danych karty kredytowej

Muszę przechowywać numery kart kredytowych w celu cyklicznego rozliczania za pośrednictwem naszego zewnętrznego sprzedawcy.

Czy są jakieś standardy, których muszę przestrzegać w zakresie przechowywania danych? Akceptujemy karty kredytowe od lat, ale odrzucaliśmy ich dane, gdy tylko z nimi skończyliśmy. Nasi klienci poprosili o przechowywanie ich danych, aby nie musieli ręcznie płacić abonamentu co miesiąc.

Przejście do systemu PayPal w celu korzystania z ich subskrypcji nie jest opcją. Musimy je przechowywać i muszę upewnić się, że przechowywanie jest bezpieczne!

Wykorzystujemy MSSQL 2005 dla naszych danych, a wszystko jest już w SSL.

Będzie trzeba wykonać (na piśmie), a korzystnie przekracza o PCI DSS standardu. W żadnym wypadku nie jest to łatwe zadanie do wykonania, ani nie należy go traktować trywialnie.

I zdecydowanie zaleca, aby znaleźć procesor stron trzecich, które mogą obsługiwać to dla ciebie i włączenia jej do systemu rozliczeniowego. Wykracza to daleko poza samo posiadanie SSL i szyfrowanie informacji w bazie danych. Musisz również monitorować dostęp, wykrywać włamania, mieć systemy, które mogą powiadamiać tylko osoby dotknięte skutkami naruszenia (i określić, które dane mogły zostać naruszone) itp.

Następnie istnieje fizyczny dostęp do serwerów, sieci itp. Oznacza to zamkniętą szafkę, która nie jest współdzielona na serwerach, które posiadasz, gdzie fizyczna sieć LAN jest również chroniona. Zgodność nie będzie ani tania, ani łatwa.

Naprawdę, dołóż wszelkich starań, aby przenieść to na stronę trzecią. Samo zobowiązanie po prostu nie jest warte ryzyka, chyba że mówisz o transakcjach o wartości setek tysięcy (wstaw swoją walutę) miesięcznie. W takim przypadku zaoszczędzone opłaty mogą uzasadniać wykorzystanie talentu potrzebnego do wdrożenia i monitorowania systemów przechowujących informacje. Będziesz potrzebował:

• Programiści systemów (będziesz potrzebować haków kontroli poziomu jądra i systemu plików)
• Guru IDS / IPS (chyba że lubisz blokowanie dostawcy)
• 24/7/365 pracowników do monitorowania alertów generowanych przez systemy zaprojektowane przez ekspertów. Ci ludzie nie są tanie, podejmują decyzję o wyciągnięciu wtyczki rozliczeniowej lub zgłoszeniu błędu w używanych algorytmach.

Z drugiej strony, możesz to wszystko zrzucić na stronę trzecią, dość tanio.

To nigdy nie jest dobry pomysł, aby przechowywać dane karty kredytowej kiedykolwiek . Po prostu szykujesz się na upadek, każda brama do przyzwoitej płatności pozwoli ci robić powtarzające się transakcje za pomocą tokena, w którym nie musisz przechowywać danych karty kredytowej.

Wiele poszukiwanych odpowiedzi można znaleźć na stronie Przewodnik po branżowych instrukcjach dotyczących kart płatniczych . Ich strona z linkami jest szczególnie przydatna.

Najlepszą sugestią byłoby zezwolenie stronie trzeciej na obsługę tego magazynu.

Czy Twój zewnętrzny sprzedawca nie obejmuje opcji ciągłych płatności kartą kredytową - większość z nich w Wielkiej Brytanii z pewnością to robi (DataCash, RBS World Pay itp.).

Zasadniczo przekazujesz im Szczegóły karty raz, z prośbą do organu CCC (który, jeśli dobrze pamiętam, musi zawierać oczekiwany harmonogram i regularną kwotę), a następnie otrzymujesz od nich token. Następnie co miesiąc / cokolwiek sondujesz kupca tokenem, a oni przetwarzają dla ciebie kolejne transakcje - zazwyczaj są też możliwości skonfigurowania ich dla zmiennych, doraźnych żądań. Kluczowym wymogiem po Twojej stronie jest powiadomienie klienta (zwykle co najmniej 10 dni) przed podjęciem płatności.

W ten sposób nie przechowujesz nigdzie szczegółów CC, wszystko to są obsługiwane przez osoby, które spełniły wymagania.

Jest to podobne do wykonywania wstępnej autoryzacji na karcie, więc nigdy nie powinieneś przechowywać karty kredytowej, tylko token od Kupca, do którego możesz zadzwonić w razie potrzeby.

Musimy je przechowywać i muszę upewnić się, że przechowywanie jest bezpieczne!

Jedno pytanie: dlaczego?

Proszę o to tylko dlatego, że sam muszę poradzić sobie z PCI, a nadążanie za nią jest uciążliwe. Mimo że moja codzienna praca kwalifikuje nas jako najniższy szczebel zgodności PCI, wciąż jest wiele do zrobienia. Szyfrowanie, względy dotyczące najmniejszych przywilejów, bezpieczeństwo systemu operacyjnego serwera, bezpieczeństwo sieci wewnętrznej, bezpieczeństwo granic, audyty stron trzecich ... to wszystko jest na bieżąco. I to nawet w przypadku, gdy nie przechowujemy informacji o karcie kredytowej!

(Sidenote: Jeśli prowadzisz handel elektroniczny, musisz być zgodny z PCI, nawet jeśli nie przechowujesz danych CC. Jeśli nie masz teraz skargi, uważaj się za szczęściarza, że ​​jeszcze cię nie ugryzł.)

Sprawdź, czy procesor sobie z tym poradzi. Korzystamy z Authorize.net i mają one wspaniały interfejs API, dzięki czemu możemy zbudować własny niestandardowy interfejs, ale zajmują się przechowywaniem i obsługą faktycznych płatności. Jeśli chcielibyśmy skonfigurować powtarzające się rozliczenia, mają system do przechowywania informacji. Szczerze, ufam im bardziej niż sobie.

Jak wspomnieli inni, szukasz PCI-DSS. Jak wspomniano również inne osoby, zgodność z przepisami może być zbyt droga w przypadku małych witryn.

Przejście do systemu PayPal w celu korzystania z ich subskrypcji nie jest opcją. Musimy je przechowywać i muszę upewnić się, że przechowywanie jest bezpieczne!

Możesz lokalnie przechowywać identyfikator, który identyfikuje informacje o karcie kredytowej klienta w bramce płatności. Nie jestem pewien, czy PayPal oferuje tę opcję, ale istnieją inne bramki płatności.

Pamiętaj również, że nawet jeśli nie przechowujesz danych karty kredytowej na dysku, nadal spełniasz niektóre wymagania PCI-DSS. Zdecydowanie najłatwiejszym sposobem na zachowanie zgodności jest nieprzyjmowanie żadnych danych CC (tj .: poprzez wysłanie formularza płatności bezpośrednio do bramki płatności).

Usługi takie jak http://chargify.com/ oferują dodatkową warstwę na istniejących bramach płatniczych. Zapewnią one różne sposoby przechowywania kart kredytowych, realizacji płatności cyklicznych, a nawet tworzenia raportów.

Umożliwi to obejście całego problemu dotyczącego odpowiedzialności i zgodności PCI. Jedną z moich obaw jest to, czy któregoś dnia chcesz zmienić sprzedawców, konta handlowe lub bramy. Jak zabierasz ze sobą 10 000 klientów? Czy przekazują bazę danych kart kredytowych? Czy współpracuje z konkurentem w celu przeniesienia informacji o karcie kredytowej?

Wątpię. Możliwe, że będziesz musiał poprosić wszystkich swoich klientów o ponowne przesłanie informacji rozliczeniowych, jeśli zmienisz dostawcę. To jeden mały argument na rzecz przechowywania informacji o karcie kredytowej. Prawdopodobnie warto, jeśli masz wielu klientów i duże przychody. Byłbym bardzo ciekawy, gdy usłyszę przemyślenia innych ludzi na temat tej konkretnej zagadki.

Nie mam jeszcze wystarczającej liczby przedstawicieli, aby głosować lub komentować, więc otrzymam nową odpowiedź. Jak wskazał zhaph , wiele firm handlowych oferuje system płatności cyklicznych, w którym zajmują się przechowywaniem danych.

Korzystamy z Authorize.net dla wszystkich klientów, którzy nie chcą korzystać z PayPal i działa całkiem dobrze (naszą jedyną dużą skargą jest to, że klucz API resetuje się co 6 miesięcy i nie zawracają sobie głowy powiadomieniem Cię, kiedy to nastąpi, więc strona po prostu przestaje działać). Ich interfejs API oparty jest na języku XML i można znaleźć opakowania dla niego w prawie każdym języku.

Pamiętaj, że jeśli ostatecznie zdecydujesz się przechowywać informacje o karcie kredytowej we własnej bazie danych, w żadnym wypadku nie powinieneś przechowywać 3-cyfrowego kodu bezpieczeństwa karty . Takie postępowanie jest surowo zabronione przez stowarzyszenia kart.

BTW, nie potrzebujesz kodu bezpieczeństwa karty, aby dokonać transakcji. Poprawia wskaźnik wykrycia oszustwa, ale nie powinien być potrzebny, jeśli masz stałe relacje z klientem. (I nawet jeśli uważasz, że potrzebujesz, nie możesz go przechowywać. Bez względu na wszystko.)

Popieram także inne zalecenia, aby nie przechowywać informacji. Menedżer informacji o klientach Authorize.Net jest łatwy i tani w użyciu. Korzystanie z niego będzie O wiele DUŻO tańsze niż ponoszenie kosztów PCI związanych z przechowywaniem informacji na własnych serwerach.

Jeśli zamierzasz przechowywać karty kredytowe w bazie danych, kluczem jest szyfrowanie. Będziesz także chciał (a może potrzebujesz) zlecić zewnętrznym rutynowym testom zgodności, aby upewnić się, że twoje systemy są w stanie zgasić.