Speichern von Kreditkarteninformationen in der MySQL-Datenbank?[geschlossen]

Question

geschlossene . Diese Frage muss mehr sein fokussiert . Es akzeptiert derzeit nicht Antworten.

Möchten Sie diese Frage verbessern? Die Frage aktualisieren, sodass es sich nur auf ein Problem konzentriert, nur von diesen Beitrag .

geschlossene vor 5 Jahren .

Diese Frage verbessern .

Answer 1

Wie oben erwähnt, speichern Sie keine Kreditkarteninformationen in einer Datenbank nicht. Es ist ein Rezept für Ärger. Dabei werden Sie zu einem sehr attraktiven Ziel für Hacker herstellen, und, wenn sie sie beim Abrufen erfolgreich sind, Ihr Geschäft enden und möglicherweise Ihr Leben als auch das Leben derjenigen ruinieren, deren Kreditkartennummern gestohlen werden.

hat gesagt, dass hier drei Dinge zu berücksichtigen sind:

1) Ihre beste Wette besteht darin, einen Zahlungsprozessor- / Zahlungsgateway zu verwenden, der wiederkehrende Abrechnung bietet. Ein Beispiel dafür ist Authorize.Net automatisierte wiederkehrende Rechnungseinrichtungen Service. Wenn Sie das Abonnement eingerichtet haben, werden sie den Benutzer automatisch jeden Monat automatisch für Sie berechnet und Sie die Ergebnisse der Transaktion kennen. Es erspart Ihnen eine Menge Arbeit und entlastet Sie von der Haftung, um Kreditkarteninformationen zu speichern.

2) Wenn Sie den Speicher mit dem Store-Shop-Kreditkartennummern arbeiten, müssen Sie folgen PCI-Richtlinien . Diese Richtlinien werden von der Zahlungskartenindustrie festgelegt und definieren, was Sie können und nicht tun können. Es definiert auch, wie Kreditkarteninformationen gespeichert werden müssen. Sie müssen die Kreditkartennummern verschlüsseln und Sie sollten, sind jedoch nicht erforderlich, um verwandte Informationen zu verschlüsseln (Ablaufdatum usw.). Sie sind auch erforderlich, um sicherzustellen, dass Ihr Webserver und Ihr Netzwerk sicher sind. Die PCI-Konformität kann nicht erfüllt werden, um Ihr Händlerkonto zu verlieren und von einem echten Händlerkonto für immer verboten zu werden. Dies würde Sie auf die Verwendung von Prozessoren von Drittanbietern einschränken, die weniger flexibel sind. Denken Sie daran, dass PCI-Richtlinien ein guter Start sind, aber kaum ein "How to", wenn es um Online-Sicherheit geht. Ihr Ziel wäre es, die Empfehlung (von viel) übersteigen.

3) staatliche und länderspezifische Gesetze ersetzen die PCI-Konformität. Wenn Sie an einem Verstoß erleiden und Kreditkartennummern gestohlen werden, riskieren Sie strafrechtliche Verfolgung. Die Gesetze variieren von Staat bis hin zu staatlich und sind ständig in Flussmittel, da die Gesetzgeber nur erst beginnen, um zu erkennen, wie ernst eine Angelegenheit dies ist.

Soweit verschlüsselt, stellen Sie sicher, dass Sie bereitstellen, auf welchen Verschlüsselungsalgorithmen sicher sind und noch nicht gebrochen wurden. blowfish ist ein guter Anfang und wenn Sie PHP verwenden, ist das McYPT Library wird empfohlen ( Beispiel ).

Answer 2

Der sicherste Weg ist auf nicht Speichern Sie die Kreditkarteninformationen auf Ihrem System, lassen Sie jedoch einen 3 ^{RD Party-Zahlungsanbieter dafür tunSie.}

Answer 3

Es ist nicht erforderlich, dass Sie einen Drittanbieter-Zahlungsanbieter wie Paypal usw. verwenden - aber Sie müssen PCI-kompatibel Wenn Sie Zahlungskarteninformationen speichern möchten.Lesen Sie diesen Artikel über BC-Fähren, die erhebliche Geldbußen konfrontiert sind, um nicht auf dem Laufenden mit PCI-Compliance zu behalten, um zu verstehen, wie ernst sie ist, PCI-konform zu sein.

Mein derzeitiger Arbeitgeber läuft durch die PCI-Compliance - es ist kein trivialer Prozess und erfordert Mitarbeiter für die Prüfung.Die Vollstreckung hängt von dem Land und dem Staat / Provinz-Gesetze - Canada IIRC erfordert, dass Sie von einem PCI-Beschäftigungskomitee PCI-zertifiziert sein, während einige Staaten in den USA die PCI-Compliance-Prüfungsunternehmen ermöglichen, anstelle des PCI-Komitees zu dienen.