Como se mencionó anteriormente, no almacene información de la tarjeta de crédito en una base de datos. Es una receta para problemas. Hacerlo lo hará un objetivo muy atractivo para los hackers y, si tienen éxito en la recuperación de ellos, termine su negocio y potencialmente arruine su vida, así como las vidas de aquellas cuyos números de tarjeta de crédito son robados.
Dicho esto, aquí hay tres cosas a considerar:
1) Su mejor apuesta es usar un procesador de pago / pasarela de pago que ofrezca la facturación recurrente. Un ejemplo de esto es Factura recurrente automatizada de Authorize.net . Una vez que configure la suscripción, le facturarán automáticamente al usuario cada mes automáticamente y le harán conocer los resultados de la transacción. Le ahorra un montón de trabajo y le alivia la responsabilidad de almacenar información de la tarjeta de crédito.
2) Si realiza los números de Tienda de tarjetas de crédito, debe seguir Pautas de PCI . Estas directrices están establecidas por la industria de la tarjeta de pago y definen lo que puede y no puede hacer. También define cómo debe almacenarse la información de la tarjeta de crédito. Tendrá que cifrar los números de la tarjeta de crédito y usted debe, pero no está obligado a, cifrar información relacionada (fecha de vencimiento, etc.). También será requerido para garantizar que su servidor web y su red estén seguros. No cumplir con el cumplimiento de PCI dará lugar a perder su cuenta de comerciante y estar prohibido tener una verdadera cuenta de comerciante para siempre. Eso le limitaría a usar procesadores de terceros que sean menos flexibles. Tenga en cuenta que las directrices PCI son un buen comienzo, pero apenas una "cómo" cuando se trata de la seguridad en línea. Su objetivo sería exceder la recomendación (por mucho).
3) Las leyes específicas del estado y los países reemplazaron el cumplimiento de PCI. Si sufre un incumplimiento y los números de la tarjeta de crédito son robados, usted corre el riesgo de un proceso penal. Las leyes varían de un estado a estado y están constantemente en flujo, ya que los legisladores solo están empezando a darse cuenta de lo grave de un asunto.
En lo que respecta a la cifrado, asegúrese de leer sobre qué algoritmos de cifrado están seguros y aún no se han roto. blowfish es un buen comienzo y si usa php the la biblioteca de McRypt se recomienda ( Ejemplo ).