付款处理商 - 如果我想在我的网站上接受信用卡,我需要了解什么?[关闭]

StackOverflow https://stackoverflow.com/questions/51094

  •  09-06-2019
  •  | 
  •  

这个问题 谈论不同的支付处理器及其费用,但我正在寻找如果我想接受信用卡付款我需要做什么的答案?

假设我需要 店铺 客户的信用卡号码,因此依赖信用卡处理器来完成繁重工作的明显解决方案不可用。

PCI数据安全, ,这显然是存储信用卡信息的标准,有很多一般要求,但是 如何实施它们?

那么供应商呢,比如 签证, ,谁有自己的最佳实践?

我需要使用密钥卡访问机器吗?从物理上保护它免受建筑物内的黑客攻击怎么样?或者,如果有人拿到了包含 SQL Server 数据文件的备份文件怎么办?

备份怎么样?周围是否还有该数据的其他物理副本?

提示: 如果您获得商家帐户,您应该协商他们向您收取“交换加价”而不是分级定价。 通过分级定价,他们会根据使用的 Visa/MC 类型向您收取不同的费率 - 即。对于附有丰厚奖励的卡,他们会向您收取更高的费用。交换加计费意味着您只需向处理者支付 Visa/MC 收取的费用,再加上固定费用。(Amex 和 Discover 直接向商家收取自己的费率,因此这不适用于这些卡。您会发现 Amex 费率在 3% 范围内,而 Discover 费率可能低至 1%。Visa/MC 的税率在 2% 范围内)。 这项服务应该为您进行谈判 (我没有使用过它,这不是广告,我不隶属于该网站,但非常需要这项服务。)

这篇博文给出了 处理信用卡的完整概要 (特别针对英国)。

也许我的问题措辞错误,但我正在寻找这样的提示:

  1. 使用 安全ID 或者 电子令牌 向物理盒添加额外的密码层。
  2. 确保盒子位于带有物理锁或钥匙密码组合的房间中。
有帮助吗?

解决方案

不久前,我在我工作过的一家公司经历了这个过程,我计划很快在我自己的企业中再次经历这个过程。如果您有一些网络技术知识,那确实还不错。否则,您最好使用 Paypal 或其他类型的服务。

该过程首先获得 商家帐户 设置并绑定到您的银行帐户。您可能需要咨询您的银行,因为许多主要银行都提供商业服务。您也许能够获得优惠,因为您已经是他们的客户,但如果不是,那么您可以货比三家。如果您计划接受 Discover 或 American Express,它们将是分开的,因为他们为其卡提供商家服务,无法回避这一点。还有其他特殊情况。这是一个申请过程,请做好准备。

接下来您需要购买一个 SSL证书 当信用卡信息通过公共网络传输时,您可以使用它来保护您的通信。有很多供应商,但我的经验法则是选择一个在某种程度上是品牌的供应商。它们越出名,您的客户可能就越了解它们。

接下来你会想要找到一个 支付网关 与您的网站一起使用。尽管这可以是可选的,具体取决于您的规模,但大多数情况下都不是。您将需要一个。支付网关供应商提供了一种与您将与之通信的互联网网关 API 进行通信的方法。大多数供应商通过其 API 提供 HTTP 或 TCP/IP 通信。他们将代表您处理信用卡信息。两个供应商是 授权网支付流专业版. 。我在下面提供的链接提供了有关其他供应商的更多信息。

怎么办?对于初学者来说,有一些关于您的应用程序在传输交易时必须遵守的准则。在完成所有设置的过程中,有人会查看您的网站或应用程序,并确保您遵守指南,例如使用 SSL,并且您有关于用户向您提供的信息的用途的使用条款和政策文档为了。不要从其他网站窃取此内容。自己想办法,如果需要的话请聘请律师。其中大部分内容都属于 Michael 在他的问题中提供的 PCI 数据安全链接。

如果您打算存储信用卡号,那么您最好准备好在内部采取一些安全措施来保护信息。确保存储信息的服务器只能由需要访问权限的成员访问。与任何良好的安全性一样,您可以分层执行操作。放置的层数越多越好。如果您愿意,可以使用密钥卡类型的安全性,例如 安全ID 或者 电子令牌 以保护服务器所在的房间。如果您买不起钥匙扣路线,请使用两把钥匙的方法。允许有权进入房间的人签出一把钥匙,该钥匙与他们已经携带的钥匙一起使用。他们需要两把钥匙才能进入房间。接下来,您可以使用策略保护与服务器的通信。我的策略是,通过网络与其进行通信的唯一对象是应用程序,并且该信息是加密的。不应以任何其他形式访问服务器。对于备份,我使用 真实密码 加密备份将保存到的卷。每当数据被删除或存储在其他地方时,您都会再次使用 truecrypt 来加密数据所在的卷。基本上,无论数据在哪里,都需要加密。确保获取数据的所有流程都带有审计跟踪。使用日志来访问服务器机房,如果可以的话使用摄像头,等等......另一种措施是对数据库中的信用卡信息进行加密。这可确保只能在您的应用程序中查看数据,您可以强制规定谁可以查看该信息。

我用 普夫感 对于我的防火墙。我通过紧凑型闪存卡运行它并设置了两台服务器。一种是用于冗余的故障转移。

我找到了这个 博客文章 作者:Rick Strahl,这对理解电子商务以及如何通过网络应用程序接受信用卡有很大帮助。

好吧,结果这是一个很长的答案。我希望这些提示有所帮助。

其他提示

问自己以下问题: 你为什么要首先存储信用卡号码?很可能你不知道。事实上,如果你 存放它们并设法使其被盗,您可能会承担一些严重的责任。

我编写了一个存储信用卡号的应用程序(因为交易是离线处理的)。这是一个好方法:

  • 获取 SSL 证书!
  • 创建一个表单以从用户处获取 CC#。
  • 加密 CC# 的部分(不是全部!)并将其存储在数据库中。(我建议使用中间 8 位数字。)使用强大的加密方法和密钥。
  • 将 CC# 的其余部分连同要处理的人员的 ID 一起邮寄给处理您交易的人员(可能是您自己)。
  • 当您稍后登录时,您将输入 ID 和 CC# 的邮寄部分。您的系统可以解密其他部分并重新组合以获得完整的数字,以便您可以处理交易。
  • 最后删除上网记录。我偏执的解决方案是在删除之前用随机数据覆盖记录,以消除取消删除的可能性。

这听起来工作量很大,但从不在任何地方记录完整的 CC#,黑客就很难在您的网络服务器上找到任何有价值的东西。相信我,这值得您安心。

PCI 1.2文件刚刚出来。它提供了如何实施 PCI 合规性以及要求的流程。您可以在这里找到完整的文档:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

长话短说,为专用于存储 CC 信息的服务器(通常是数据库服务器)创建一个单独的网段。尽可能隔离数据,并确保仅存在访问数据所需的最少访问权限。存储时对其进行加密。切勿存储 PAN。清除旧数据并轮换加密密钥。

不该做的事示例:

  • 不要让可以在数据库中查找一般信息的同一帐户查找 CC 信息。
  • 不要将 CC 数据库与 Web 服务器放在同一物理服务器上。
  • 不允许外部(Internet)流量进入您的 CC 数据库网段。

示例:

  • 使用单独的数据库帐户查询CC信息。
  • 禁止通过防火墙/访问列表访问 CC 数据库服务器(除了必需的流量)之外的所有流量
  • 将 CC 服务器的访问权限限制为一组有限的授权用户。

我想添加一条您可能希望考虑的非技术评论

我的一些客户经营电子商务网站,其中包括一些拥有中等规模商店的客户。这两者,虽然他们当然可以选择不实施支付网关,但他们获取抄送号码,将其临时加密在线存储并手动处理。

他们这样做是因为欺诈发生率很高,并且手动处理允许他们在填写订单之前进行额外的检查。我听说他们拒绝了超过 20% 的交易——手动处理肯定需要额外的时间,在一种情况下,他们有一名员工除了处理交易什么都不做,但支付他的工资的成本显然低于他们的工资。如果他们只是通过在线网关传递抄送号码,就会暴露。

这两个客户都提供具有转售价值的实物商品,因此特别容易受到暴露,对于软件等欺诈性销售不会导致任何实际损失的物品,您的里程会有所不同,但值得考虑的是在线网关的技术方面如果实现这样确实是你想要的。

编辑:自从创建这个答案以来,我想添加一个警示故事,并说这是一个好主意的时代已经过去了。

为什么?因为我知道另一个联系人也采取了类似的方法。卡的详细信息被加密存储,网站通过 SSL 访问,并且号码在处理后立即被删除。你认为安全吗?

没有 - 他们网络上的一台机器被密钥记录特洛伊木马感染。结果,他们被认定为多起信用卡伪造案的源头,并因此被处以巨额罚款。

结果我现在 绝不 建议任何人自己处理信用卡。此后,支付网关变得更具竞争力和成本效益,并且欺诈措施也得到了改善。现在不再值得冒这个风险。

我可以删除这个答案,但我认为最好保留编辑作为警示故事。

请记住,使用 SSL 将卡号从浏览器发送到服务器就像在餐厅将卡交给收银员时用拇指遮住信用卡号一样:您的拇指 (SSL) 可以防止餐厅(网络)中的其他顾客看到该卡,但是一旦该卡到达收银员(网络服务器)手中,该卡就不再受到 SSL 交换的保护,并且收银员可以用这张卡做任何事。只能通过网络服务器上的安全措施来阻止对已保存卡号的访问。也就是说,网络上的大多数卡盗窃并不是在传输过程中完成的,而是通过突破较差的服务器安全性并窃取数据库来完成的。

为什么要考虑 PCI 合规性?最好的情况下,您最多只能节省百分之几的处理费。在这种情况下,您必须确保这就是您想要在开发过程中花时间做的事情,并随着时间的推移以满足最新的要求。

在我们的例子中,使用支持订阅的网关并将其与商家帐户配对是最有意义的。订阅智能网关允许您跳过所有 PCI 合规性,只需正确处理交易即可。

我们使用 TrustCommerce 作为我们的网关,并对他们的服务/定价感到满意。他们拥有多种语言的代码,使集成变得非常容易。

确保掌握 PCI 所需的额外工作和预算。PCI 可能需要巨额外部审计费用和内部努力/支持。还要注意可能单方面对您征收的罚款/处罚,通常与“罪行”的规模严重不成比例。

整个过程有很多内容。最简单的方法是使用类似于 PayPal 的服务,这样您就永远不会真正处理任何信用卡数据。除此之外,还需要完成很多事情才能获得批准在您的网站上提供信用卡服务。您可能应该与您的银行以及为您发放商家 ID 的人员联系,以帮助您设置流程。

正如其他人提到的,进入该领域的最简单方法是使用 贝宝, 谷歌结账 或者 诺切克斯. 。但是,如果您打算开展大量业务,您可能希望“升级”到更高级别的站点集成服务,例如 世界支付, 网银(英国) 或者 内特勒(美国). 。所有这些服务的设置都相当容易。我知道 Netbanx 可以方便地集成到一些现成的购物车解决方案中,例如 店铺间 (因为其中一些是我写的)。除此之外,您正在考虑与银行系统(及其 APAX 系统)直接集成,但这很难,此时您还需要向信用卡公司证明您正在安全地处理信用卡号码(如果你每月拿的不是 10 万美元)。

从头到尾的成本/好处是,早期的选择更容易(更快/更便宜)设置,但您为每笔交易支付相当高的手续费。后者的设置成本要高得多,但从长远来看,您支付的费用会更少。

大多数非专用解决方案的另一个优点是您不需要保证加密信用卡号码的安全。那是别人的问题:-)

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top