Wie oben erwähnt, speichern Sie keine Kreditkarteninformationen in einer Datenbank nicht. Es ist ein Rezept für Ärger. Dabei werden Sie zu einem sehr attraktiven Ziel für Hacker herstellen, und, wenn sie sie beim Abrufen erfolgreich sind, Ihr Geschäft enden und möglicherweise Ihr Leben als auch das Leben derjenigen ruinieren, deren Kreditkartennummern gestohlen werden.
hat gesagt, dass hier drei Dinge zu berücksichtigen sind:
1) Ihre beste Wette besteht darin, einen Zahlungsprozessor- / Zahlungsgateway zu verwenden, der wiederkehrende Abrechnung bietet. Ein Beispiel dafür ist Authorize.Net automatisierte wiederkehrende Rechnungseinrichtungen Service. Wenn Sie das Abonnement eingerichtet haben, werden sie den Benutzer automatisch jeden Monat automatisch für Sie berechnet und Sie die Ergebnisse der Transaktion kennen. Es erspart Ihnen eine Menge Arbeit und entlastet Sie von der Haftung, um Kreditkarteninformationen zu speichern.
2) Wenn Sie den Speicher mit dem Store-Shop-Kreditkartennummern arbeiten, müssen Sie folgen PCI-Richtlinien . Diese Richtlinien werden von der Zahlungskartenindustrie festgelegt und definieren, was Sie können und nicht tun können. Es definiert auch, wie Kreditkarteninformationen gespeichert werden müssen. Sie müssen die Kreditkartennummern verschlüsseln und Sie sollten, sind jedoch nicht erforderlich, um verwandte Informationen zu verschlüsseln (Ablaufdatum usw.). Sie sind auch erforderlich, um sicherzustellen, dass Ihr Webserver und Ihr Netzwerk sicher sind. Die PCI-Konformität kann nicht erfüllt werden, um Ihr Händlerkonto zu verlieren und von einem echten Händlerkonto für immer verboten zu werden. Dies würde Sie auf die Verwendung von Prozessoren von Drittanbietern einschränken, die weniger flexibel sind. Denken Sie daran, dass PCI-Richtlinien ein guter Start sind, aber kaum ein "How to", wenn es um Online-Sicherheit geht. Ihr Ziel wäre es, die Empfehlung (von viel) übersteigen.
3) staatliche und länderspezifische Gesetze ersetzen die PCI-Konformität. Wenn Sie an einem Verstoß erleiden und Kreditkartennummern gestohlen werden, riskieren Sie strafrechtliche Verfolgung. Die Gesetze variieren von Staat bis hin zu staatlich und sind ständig in Flussmittel, da die Gesetzgeber nur erst beginnen, um zu erkennen, wie ernst eine Angelegenheit dies ist.
Soweit verschlüsselt, stellen Sie sicher, dass Sie bereitstellen, auf welchen Verschlüsselungsalgorithmen sicher sind und noch nicht gebrochen wurden. blowfish ist ein guter Anfang und wenn Sie PHP verwenden, ist das McYPT Library wird empfohlen ( Beispiel ).