حفظ معلومات بطاقة الائتمان في قاعدة بيانات MySQL؟[مغلق]

Question

<جانغة Class="S-Notes S-Note__info JS-Post-Nother MB16" دور="الحالة">

مغلق . يحتاج هذا السؤال إلى أن يكون أكثر تركز . لا يقبل حاليا الإجابات.

---

هل ترغب في تحسين هذا السؤال؟ تحديث السؤال حتى يركز على مشكلة واحدة فقط بواسطة تحرير هذا المنشور .

مغلقة قبل 5 سنوات .

تحسين هذا السؤال

أريد أن أسمح لمستخدمي العميل بإدخال معلومات بطاقة الائتمان الخاصة بهم حتى أتمكن من شحنها كل شهر.

أتساءل كيف ينبغي للمرء حفظ هذه المعلومات؟

يجب أن يتم حفظ

في قاعدة بيانات MySQL (جدول "المستخدم" ("المستخدم" الجدول) أو هو هذا النوع من المعلومات حساسة للغاية وتحتاج إلى تخزينها في مكان آخر؟

ليس لدي خبرة في ذلك وسأكون سعيدا إذا كان شخص ما يمكن أن ينصح بي كيفية تحقيق ذلك.

شكرا.

Answer 1

كما هو مذكور أعلاه، لا تخزن معلومات بطاقة الائتمان في قاعدة بيانات. إنها وصفة للمشاكل. القيام بذلك، سيجعلك هدفا جذابا للغاية للمتسللين، وإذا نجحوا في استرجاعهم وإنهاء عملك وربما أن يدمروا حياتك وكذلك حياة أولئك الذين تسرق أرقام بطاقات الائتمان الخاصة بهم.

بعد أن قال ذلك، إليك ثلاثة أشياء يجب مراعاتها:

1) أفضل رهان هو استخدام معالج الدفع / بوابة الدفع التي توفر الفواتير المتكررة. مثال على ذلك هو الفواتير المؤتمتة Authorize.net الخدمة. بمجرد أن تقوم بإعداد الاشتراك فسوف يقومون تلقائيا ب فاتورة المستخدم كل شهر لك تلقائيا ونعلمك بنتائج المعاملة. أنه يوفر لك الكثير من العمل ويخفف من مسؤولية تخزين معلومات بطاقة الائتمان.

2) إذا قمت بتخزين أرقام بطاقات الائتمان المتجر، يجب أن تتبع إرشادات PCI . يتم تعيين هذه المبادئ التوجيهية من خلال صناعة بطاقة الدفع وتحديد ما يمكنك وما لا تستطيع القيام به. كما يحدد كيفية تخزين معلومات بطاقة الائتمان. ستحتاج إلى تشفير أرقام بطاقات الائتمان ويجب عليك، ولكن غير مطلوبة لتشفير المعلومات ذات الصلة (تاريخ انتهاء الصلاحية، إلخ). ستحتاج أيضا إلى ضمان ضمان خادم الويب الخاص بك وشبكتك آمنة. سيؤدي الفشل في تلبية الامتثال PCI إلى فقدان حساب التاجر الخاص بك ويتم حظره من وجود حساب تاجر حقيقي إلى الأبد. من شأنها أن تحديك من استخدام معالجات الطرف الثالث والتي تكون أقل مرونة. ضع في اعتبارك أن إرشادات PCI هي بداية جيدة ولكن بالكاد "كيفية" عندما يتعلق الأمر بالأمان عبر الإنترنت. هدفك هو تجاوز التوصية (عن طريق الكثير).

3) القوانين المحددة للدولة والبلاد تحل محل امتثال PCI. إذا كنت تعاني من انتهاك وأرقام بطاقات الائتمان سرقت، فأنت تخاطر بالمقاضاة الجنائية. تختلف القوانين من الدولة إلى الدولة وهي تدور باستمرار في التدفقات حيث بدأ المشرعون فقط فقط في تحقيق مدى جدية هذه المسألة.

بقدر ما يذهب التشفير تأكد من قراءة خوارزميات التشفير التي تكون آمنة ولم يتم كسرها بعد. rel="noreferrrer"> blowfish هي بداية جيدة وإذا كنت تستخدم PHP الموصى بها مكتبة mcrypt ( مثال ).

Answer 2

الطريقة الأكثر أمانا هي غير تخزين معلومات بطاقة الائتمان على نظامك، ولكن السماح ل 3 ^{RD مزود دفع الطرفأنت.}

Answer 3

ليس مطلوبا من استخدام مزود دفع الطرف الثالث مثل PayPal، وما إلى ذلك - ولكن عليك أن تكون متوافق مع PCI إذا كنت ذاهبا لتخزين معلومات بطاقة الدفع.اقرأ هذه المقالة حول BC Ferries، الذي يواجه غرامات كبيرة لعدم مواكبة امتثال PCI لفهم مدى خطورة أن تكون متوافقة مع PCI.

صاحب العمل الحالي الخاص بي يمر الامتثال PCI - إنها ليست عملية تافهة، ويتطلب من الموظفين التدقيق.يعتمد إنفاذ على البلد وقوانين الدولة / المقاطعة - كندا IIRC تتطلب منك أن تكون معتمدة من PCI من قبل لجنة موظفين PCI، بينما تسمح بعض الدول في الولايات المتحدة بمراجعة شركات التدقيق في امتثال PCI لجنة PCI.