معالجات الدفع - ما الذي أحتاج إلى معرفته إذا كنت أرغب في قبول بطاقات الائتمان على موقع الويب الخاص بي؟[مغلق]
https://stackoverflow.com/questions/51094
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
هذا السؤال يتحدث عن معالجات الدفع المختلفة وما هي تكلفتها، ولكنني أبحث عن إجابة لما يجب أن أفعله إذا كنت أرغب في قبول الدفع ببطاقة الائتمان؟
افترض أنني بحاجة إلى ذلك محل أرقام بطاقات الائتمان للعملاء، بحيث لا يتوفر الحل الواضح المتمثل في الاعتماد على معالج بطاقة الائتمان للقيام بالمهمة الثقيلة.
أمن بيانات PCI, ، والذي يبدو أنه المعيار القياسي لتخزين معلومات بطاقة الائتمان، لديه مجموعة من المتطلبات العامة، ولكن كيف يمكن تنفيذها?
وماذا عن البائعين، مثل تأشيرة, ، الذين لديهم أفضل الممارسات الخاصة بهم؟
هل أحتاج إلى الوصول إلى جهاز Keyfob في الجهاز؟ماذا عن حمايته جسديًا من المتسللين في المبنى؟أو حتى ماذا لو حصل شخص ما على ملفات النسخ الاحتياطي التي تحتوي على ملفات بيانات خادم SQL؟
ماذا عن النسخ الاحتياطية؟هل هناك نسخ مادية أخرى من تلك البيانات؟
نصيحة: إذا حصلت على حساب تاجر، فيجب عليك التفاوض على أن يفرضوا عليك رسوم "تبادل زائد" بدلاً من التسعير المتدرج. من خلال التسعير المتدرج، سوف يفرضون عليك أسعارًا مختلفة بناءً على نوع التأشيرة/MC المستخدم - على سبيل المثال.إنهم يفرضون عليك رسومًا أكبر مقابل البطاقات ذات المكافآت الكبيرة المرتبطة بها.التبادل بالإضافة إلى الفوترة يعني أنك تدفع للمعالج فقط ما تفرضه عليه Visa/MC، بالإضافة إلى رسم ثابت.(تقوم Amex وDiscover بفرض أسعارهما الخاصة مباشرة على التجار، لذلك لا ينطبق هذا على تلك البطاقات.ستجد أن أسعار Amex تقع في نطاق 3% وقد تصل أسعار Discover إلى 1%.التأشيرة/MC تقع في نطاق 2%). من المفترض أن تقوم هذه الخدمة بالتفاوض نيابةً عنك (لم أستخدمها، وهذا ليس إعلانًا، ولست تابعًا للموقع، ولكن هذه الخدمة مطلوبة بشدة.)
يعطي منشور المدونة هذا المتهدمة كاملة للتعامل مع بطاقات الائتمان (خصيصا للمملكة المتحدة).
ربما أخطأت في صياغة السؤال، لكني أبحث عن نصائح مثل هذه:
المحلول
لقد مررت بهذه العملية منذ وقت ليس ببعيد مع شركة كنت أعمل بها وأخطط للقيام بها مرة أخرى قريبًا مع عملي الخاص.إذا كان لديك بعض المعرفة التقنية بالشبكة، فالأمر ليس بهذا السوء حقًا.وإلا فسيكون من الأفضل لك استخدام Paypal أو أي نوع آخر من الخدمة.
تبدأ العملية بالحصول على حساب تجارى الإعداد وربطها بحسابك المصرفي.قد ترغب في مراجعة البنك الذي تتعامل معه، لأن الكثير من البنوك الكبرى تقدم خدمات تجارية.قد تتمكن من الحصول على صفقات، لأنك بالفعل عميل لديهم، ولكن إذا لم يكن الأمر كذلك، فيمكنك التسوق.إذا كنت تخطط لقبول Discover أو American Express، فسيكون هؤلاء منفصلين، لأنهم يقدمون الخدمات التجارية لبطاقاتهم، ولا داعي للالتفاف حول هذا الأمر.وهناك حالات خاصة أخرى أيضا.هذه عملية التقديم، كن مستعدًا.
التالي سوف ترغب في شراء شهادة SSL التي يمكنك استخدامها لتأمين اتصالاتك عندما يتم نقل معلومات بطاقة الائتمان عبر الشبكات العامة.هناك الكثير من البائعين، لكن قاعدتي الأساسية هي اختيار اسم علامة تجارية بطريقة ما.كلما كانت معرفتهم أفضل، كلما سمع عميلك عنهم بشكل أفضل.
بعد ذلك سوف ترغب في العثور على بوابة الدفع لاستخدامها مع موقعك.على الرغم من أن هذا يمكن أن يكون اختياريًا اعتمادًا على حجمك، إلا أنه لن يكون كذلك في أغلب الأحيان.سوف تحتاج إلى واحدة.يوفر موردو بوابة الدفع طريقة للتحدث إلى Internet Gateway API التي ستتواصل معها.يوفر معظم البائعين اتصال HTTP أو TCP/IP مع واجهة برمجة التطبيقات (API) الخاصة بهم.سيقومون بمعالجة معلومات بطاقة الائتمان نيابة عنك.اثنان من البائعين Authorize.Net و باي فلو برو.يحتوي الرابط الذي أقدمه أدناه على مزيد من المعلومات حول البائعين الآخرين.
ماذا الآن؟بالنسبة للمبتدئين، هناك إرشادات حول ما يجب أن يلتزم به تطبيقك لنقل المعاملات.أثناء عملية إعداد كل شيء، سينظر شخص ما إلى موقعك أو تطبيقك ويتأكد من التزامك بالإرشادات، مثل استخدام SSL وأن لديك شروط الاستخدام ووثائق السياسة حول كيفية استخدام المعلومات التي يقدمها لك المستخدم ل.لا تسرق هذا من موقع آخر.توصل إلى حلك الخاص، واستعين بمحامي إذا كنت بحاجة إلى ذلك.تندرج معظم هذه الأشياء ضمن رابط PCI Data Security الذي قدمه مايكل في سؤاله.
إذا كنت تخطط لتخزين أرقام بطاقات الائتمان، فمن الأفضل أن تكون مستعدًا لوضع بعض الإجراءات الأمنية داخليًا لحماية المعلومات.تأكد من أن الخادم الذي تم تخزين المعلومات عليه لا يمكن الوصول إليه إلا للأعضاء الذين يحتاجون إلى الوصول إليه.مثل أي أمان جيد، يمكنك القيام بالأشياء في طبقات.كلما زاد عدد الطبقات التي تضعها، كان ذلك أفضل.إذا كنت تريد، يمكنك استخدام مفتاح الأمان من نوع فوب، مثل معرف آمن أو eToken لحماية الغرفة التي يوجد بها الخادم.إذا كنت لا تستطيع تحمل تكلفة مسار سلسلة المفاتيح، فاستخدم طريقة المفتاحين.اسمح للشخص الذي لديه حق الوصول إلى الغرفة بتسجيل الخروج من المفتاح، والذي يتوافق مع المفتاح الذي يحمله بالفعل.سيحتاجون إلى كلا المفتاحين للوصول إلى الغرفة.بعد ذلك تقوم بحماية الاتصال بالخادم من خلال السياسات.سياستي هي أن الشيء الوحيد الذي يتواصل معها عبر الشبكة هو التطبيق ويتم تشفير تلك المعلومات.يجب ألا يكون الخادم متاحًا للوصول بأي شكل آخر.بالنسبة للنسخ الاحتياطية، أستخدم com.truecrypt لتشفير وحدات التخزين التي سيتم حفظ النسخ الاحتياطية فيها.في أي وقت تتم فيه إزالة البيانات أو تخزينها في مكان آخر، يمكنك مرة أخرى استخدام truecrypt لتشفير وحدة التخزين التي توجد عليها البيانات.في الأساس، أينما كانت البيانات، يجب تشفيرها.تأكد من أن جميع عمليات الحصول على البيانات تحمل مسارات تدقيق.استخدم السجلات للوصول إلى غرفة الخادم، واستخدم الكاميرات إذا استطعت، وما إلى ذلك...إجراء آخر هو تشفير معلومات بطاقة الائتمان في قاعدة البيانات.وهذا يضمن أنه لا يمكن عرض البيانات إلا في تطبيقك حيث يمكنك فرض من يرى المعلومات.
أنا أستعمل com.pfsense لجدار الحماية الخاص بي.أقوم بتشغيله باستخدام بطاقة فلاش مدمجة ولدي إعداد خادمين.الأول هو الفشل بسبب التكرار.
لقد وجدت هذا مشاركة مدونة بقلم ريك ستراهل والذي ساعد بشكل كبير في فهم كيفية ممارسة التجارة الإلكترونية وما يتطلبه الأمر لقبول بطاقات الائتمان من خلال تطبيق ويب.
حسنًا، تبين أن هذه إجابة طويلة.آمل أن تكون هذه النصائح تساعدك.
نصائح أخرى
اسأل نفسك السؤال التالي: لماذا تريد تخزين أرقام بطاقات الائتمان في المقام الأول؟؟هناك احتمالات أنك لا تفعل ذلك.في الواقع، إذا كنت يفعل قم بتخزينها وتمكن من سرقة واحدة منها، فقد تواجه بعض المسؤولية الجسيمة.
لقد كتبت تطبيقًا يقوم بتخزين أرقام بطاقات الائتمان (نظرًا لأن المعاملات تتم معالجتها دون الاتصال بالإنترنت).إليك طريقة جيدة للقيام بذلك:
- احصل على شهادة SSL!
- قم بإنشاء نموذج للحصول على CC# من المستخدم.
- قم بتشفير جزء (وليس الكل!) من CC# وتخزينه في قاعدة البيانات الخاصة بك.(أقترح الأرقام الثمانية الوسطى.) استخدم طريقة تشفير قوية ومفتاحًا سريًا.
- أرسل ما تبقى من CC # إلى من يقوم بمعالجة معاملاتك (ربما أنت) مع معرف الشخص المراد معالجته.
- عندما تقوم بتسجيل الدخول لاحقًا، ستكتب المعرف والجزء المرسل بالبريد من CC#.يمكن لنظامك فك تشفير الجزء الآخر وإعادة تجميعه للحصول على الرقم الكامل حتى تتمكن من معالجة المعاملة.
- وأخيراً، قم بحذف السجل عبر الإنترنت.كان الحل الذي كنت ألجأ إليه بجنون العظمة هو استبدال السجل ببيانات عشوائية قبل الحذف، لإزالة احتمال عدم الحذف.
يبدو هذا يتطلب الكثير من العمل، ولكن من خلال عدم تسجيل نسخة CC كاملة في أي مكان، فإنك تجعل من الصعب للغاية على المتسلل العثور على أي شيء ذي قيمة على خادم الويب الخاص بك.صدقني، الأمر يستحق راحة البال.
لقد صدر للتو مستند PCI 1.2.إنه يوفر عملية لكيفية تنفيذ توافق PCI مع المتطلبات.يمكنك العثور على المستند الكامل هنا:
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
باختصار، قم بإنشاء مقطع شبكة منفصل لأي خوادم سيتم تخصيصها لتخزين معلومات CC (عادةً خادم (خوادم) قاعدة البيانات).عزل البيانات قدر الإمكان، والتأكد من وجود الحد الأدنى من الوصول اللازم للوصول إلى البيانات.قم بتشفيرها عند تخزينها.لا تقم أبدًا بتخزين PAN.قم بإزالة البيانات القديمة وقم بتدوير مفاتيح التشفير الخاصة بك.
مثال لا يجوز:
- لا تدع نفس الحساب الذي يمكنه البحث عن معلومات عامة في قاعدة البيانات يبحث عن معلومات CC.
- لا تحتفظ بقاعدة بيانات CC الخاصة بك على نفس الخادم الفعلي مثل خادم الويب الخاص بك.
- لا تسمح بحركة المرور الخارجية (الإنترنت) إلى شريحة شبكة قاعدة بيانات CC الخاصة بك.
مثال دوس:
- استخدم حساب قاعدة بيانات منفصلاً للاستعلام عن معلومات CC.
- عدم السماح بجميع حركة المرور باستثناء المطلوبة إلى خادم قاعدة بيانات CC عبر جدار الحماية/قوائم الوصول
- تقييد الوصول إلى خادم CC لمجموعة محدودة من المستخدمين المعتمدين.
أود إضافة تعليق غير فني قد ترغب في التفكير فيه
يدير العديد من عملائي مواقع للتجارة الإلكترونية، بما في ذلك زوجين لديهما متاجر كبيرة إلى حد ما.كلاهما، على الرغم من أنهما بالتأكيد يستطيعان تنفيذ بوابة دفع، إلا أنهما لا يختاران ذلك أيضًا، إلا أنهما يأخذان رقم cc ويخزنانه مشفرًا مؤقتًا عبر الإنترنت ويعالجانه يدويًا.
يفعلون ذلك بسبب ارتفاع حالات الاحتيال والمعالجة اليدوية التي تسمح لهم بإجراء فحوصات إضافية قبل ملء الطلب.قيل لي أنهم يرفضون ما يزيد قليلاً عن 20% من جميع معاملاتهم - من المؤكد أن المعالجة اليدوية تستغرق وقتًا إضافيًا وفي إحدى الحالات لديهم موظف لا يفعل شيئًا سوى معالجة المعاملات، ولكن تكلفة دفع راتبه أقل من تكلفة دفع راتبه على ما يبدو. التعرض إذا قاموا للتو بتمرير أرقام cc من خلال بوابة عبر الإنترنت.
يقوم كلا العميلين بتسليم سلع مادية ذات قيمة إعادة بيع، لذا فهي مكشوفة بشكل خاص وبالنسبة لعناصر مثل البرامج التي لا يؤدي فيها البيع الاحتيالي إلى أي خسارة فعلية، فقد يختلف عدد الأميال التي تقطعها، ولكن الأمر يستحق النظر أعلاه في الجوانب الفنية للبوابة عبر الإنترنت إذا كان تنفيذ هذا هو حقا ما تريد.
يحرر:ومنذ إنشاء هذه الإجابة، أود إضافة قصة تحذيرية وأقول إن الوقت الذي كانت فيه هذه فكرة جيدة قد فات.
لماذا؟لأنني أعرف جهة اتصال أخرى كانت تتبع نهجًا مشابهًا.تم تخزين تفاصيل البطاقة بشكل مشفر، وتم الوصول إلى الموقع عن طريق SSL، وتم حذف الأرقام مباشرة بعد معالجتها.آمن برأيك؟
لا، لقد أصيب جهاز واحد على شبكتهم بفيروس حصان طروادة لتسجيل المفاتيح.ونتيجة لذلك، تم تحديدهم على أنهم مصدر العديد من عمليات تزوير بطاقات الائتمان - وبالتالي تم فرض غرامة كبيرة عليهم.
ونتيجة لهذا أنا الآن أبداً أنصح أي شخص بالتعامل مع بطاقات الائتمان بنفسه.ومنذ ذلك الحين، أصبحت بوابات الدفع أكثر تنافسية وفعالية من حيث التكلفة، وتحسنت إجراءات الاحتيال.الخطر الآن لم يعد يستحق كل هذا العناء.
يمكنني حذف هذه الإجابة، ولكن أعتقد أنه من الأفضل ترك تحريرها كقصة تحذيرية.
ضع في اعتبارك أن استخدام طبقة المقابس الآمنة (SSL) لإرسال رقم بطاقة من متصفح إلى خادم يشبه تغطية رقم بطاقتك الائتمانية بإبهامك عندما تقوم بتسليم بطاقتك إلى أمين الصندوق في أحد المطاعم:إبهامك (SSL) يمنع العملاء الآخرين في المطعم (النت) من رؤية البطاقة، ولكن بمجرد أن تصبح البطاقة في يد أمين الصندوق (خادم الويب) فإن البطاقة لم تعد محمية بواسطة تبادل SSL، وأمين الصندوق يمكن أن تفعل أي شيء مع تلك البطاقة.لا يمكن إيقاف الوصول إلى رقم البطاقة المحفوظة إلا من خلال الأمان الموجود على خادم الويب.أي أن معظم عمليات سرقة البطاقات على الشبكة لا تتم أثناء الإرسال، بل تتم عن طريق اختراق أمان الخادم الضعيف وسرقة قواعد البيانات.
لماذا تهتم بالامتثال PCI؟؟في أحسن الأحوال، ستخفض جزءًا صغيرًا من رسوم المعالجة الخاصة بك.هذه إحدى الحالات التي يجب عليك التأكد من أن هذا هو ما تريد أن تفعله بوقتك مقدمًا في التطوير وبمرور الوقت لمواكبة أحدث المتطلبات.
في حالتنا، كان من المنطقي استخدام بوابة لتوفير الاشتراكات وإقرانها بحساب تاجر.تسمح لك بوابة توفير الاشتراك بتخطي جميع متطلبات PCI وعدم القيام بأي شيء أكثر من معالجة المعاملة بشكل صحيح.
نحن نستخدم TrustCommerce كبوابتنا ونحن سعداء بخدمتهم/أسعارهم.لديهم كود لمجموعة من اللغات مما يجعل التكامل أمرًا سهلاً للغاية.
تأكد من التعامل مع العمل الإضافي والميزانية المطلوبة لـ PCI.قد يتطلب PCI رسوم تدقيق خارجية ضخمة وجهد/دعم داخلي.كن على دراية أيضًا بالغرامات/العقوبات التي يمكن فرضها عليك من جانب واحد، والتي غالبًا ما تكون غير متناسبة إلى حد كبير مع حجم "المخالفة".
هناك الكثير للعملية برمتها.الطريقة الأسهل للقيام بذلك هي استخدام خدمات مشابهة لـ paypal، بحيث لا تتعامل أبدًا مع أي بيانات بطاقة ائتمان.وبصرف النظر عن ذلك، هناك قدر كبير من الأشياء التي يجب القيام بها للحصول على الموافقة لتقديم خدمات بطاقة الائتمان على موقع الويب الخاص بك.ربما ينبغي عليك التحدث مع البنك الذي تتعامل معه، والأشخاص الذين يصدرون معرف التاجر الخاص بك لمساعدتك في إعداد العملية.
كما ذكر آخرون، فإن أسهل طريقة في هذا المجال هي استخدام باي بال, الخروج من جوجل أو نوشكس.ومع ذلك، إذا كنت تنوي القيام بقدر كبير من الأعمال، فقد ترغب في البحث عن "الترقية" إلى خدمات تكامل الموقع ذات المستوى الأعلى مثل WorldPay, نتبانكس (المملكة المتحدة) أو نيتيلر (الولايات المتحدة).كل هذه الخدمات سهلة الإعداد بشكل معقول.وأنا أعلم أن Netbanx يوفر تكاملًا ملائمًا في بعض حلول عربة التسوق الجاهزة مثل إنترشوب (لأنني كتبت بعضا منها).علاوة على ذلك، فأنت تتطلع إلى التكامل المباشر مع الأنظمة المصرفية (وأنظمة APAX الخاصة بها) ولكن هذا صعب وفي هذه المرحلة تحتاج أيضًا إلى إثبات لشركات بطاقات الائتمان أنك تتعامل مع أرقام بطاقات الائتمان بشكل آمن (ربما لا يستحق التفكير فيما إذا كان أنت لا تأخذ ما قيمته 100 ألف دولار شهريًا).
إن العمل من الأول إلى الأخير من حيث التكلفة/الفوائد هو أن الخيارات المبكرة أسهل بكثير (أسرع/أرخص) في الإعداد مما يجعلك تدفع رسوم معالجة عالية جدًا لكل معاملة.يعد إعداد الأجهزة الأحدث أكثر تكلفة ولكنك تدفع أقل على المدى الطويل.
الميزة الأخرى لمعظم الحلول غير المخصصة هي أنك لا تحتاج إلى الاحتفاظ بأرقام بطاقات الائتمان المشفرة آمنة.هذه مشكلة شخص آخر :-)
