¿Guardar la información de la tarjeta de crédito en la base de datos MySQL?[cerrado]

Question

cerrado . Esta pregunta debe ser más enfocado . Actualmente no está aceptando respuestas.

---

¿Quieres mejorar esta pregunta? Actualizar la pregunta para que se enfoca en un problema solo por Edición de este post .

cerrado hace 5 años .

Mejorar esta pregunta

Quiero permitir que los usuarios de mis clientes ingresen su información de la tarjeta de crédito para que pueda cargarlos cada mes.

Me pregunto cómo debería guardar esta información?

Si se guarda en la base de datos MySQL ("Mesa de usuario") o es este tipo de información demasiado sensible y debe almacenarse en otro lugar?

No tengo experiencia en esto y estaría contento de que alguien pueda aconsejarme cómo lograr esto.

gracias.

Answer 1

Como se mencionó anteriormente, no almacene información de la tarjeta de crédito en una base de datos. Es una receta para problemas. Hacerlo lo hará un objetivo muy atractivo para los hackers y, si tienen éxito en la recuperación de ellos, termine su negocio y potencialmente arruine su vida, así como las vidas de aquellas cuyos números de tarjeta de crédito son robados.

Dicho esto, aquí hay tres cosas a considerar:

1) Su mejor apuesta es usar un procesador de pago / pasarela de pago que ofrezca la facturación recurrente. Un ejemplo de esto es Factura recurrente automatizada de Authorize.net . Una vez que configure la suscripción, le facturarán automáticamente al usuario cada mes automáticamente y le harán conocer los resultados de la transacción. Le ahorra un montón de trabajo y le alivia la responsabilidad de almacenar información de la tarjeta de crédito.

2) Si realiza los números de Tienda de tarjetas de crédito, debe seguir Pautas de PCI . Estas directrices están establecidas por la industria de la tarjeta de pago y definen lo que puede y no puede hacer. También define cómo debe almacenarse la información de la tarjeta de crédito. Tendrá que cifrar los números de la tarjeta de crédito y usted debe, pero no está obligado a, cifrar información relacionada (fecha de vencimiento, etc.). También será requerido para garantizar que su servidor web y su red estén seguros. No cumplir con el cumplimiento de PCI dará lugar a perder su cuenta de comerciante y estar prohibido tener una verdadera cuenta de comerciante para siempre. Eso le limitaría a usar procesadores de terceros que sean menos flexibles. Tenga en cuenta que las directrices PCI son un buen comienzo, pero apenas una "cómo" cuando se trata de la seguridad en línea. Su objetivo sería exceder la recomendación (por mucho).

3) Las leyes específicas del estado y los países reemplazaron el cumplimiento de PCI. Si sufre un incumplimiento y los números de la tarjeta de crédito son robados, usted corre el riesgo de un proceso penal. Las leyes varían de un estado a estado y están constantemente en flujo, ya que los legisladores solo están empezando a darse cuenta de lo grave de un asunto.

En lo que respecta a la cifrado, asegúrese de leer sobre qué algoritmos de cifrado están seguros y aún no se han roto. blowfish es un buen comienzo y si usa php the la biblioteca de McRypt se recomienda ( Ejemplo ).

Answer 2

La forma más segura es que no almacene la información de la tarjeta de crédito en su sistema, pero deje que un proveedor de pago de la parte 3 ^{rd lo haga parausted.}

Answer 3

No se requiere que use un proveedor de pago de terceros como PayPal, etc.), pero debe ser Cumple con PCI si va a almacenar información de la tarjeta de pago.Lea este artículo sobre BC Ferries, que se enfrentan a multas sustanciales para no mantenerse al día con el cumplimiento PCI para comprender qué tan seria es ser compatible con PCI.

Mi empleador actual está pasando por el cumplimiento de PCI: no es un proceso trivial, y requiere personal para la auditoría.La aplicación depende de las leyes del país y del estado / provincia: Canadá IIRC requiere que usted esté certificado por PCI, que un comité empleado de PCI, mientras que algunos estados en los EE. UU. Permiten que las compañías de auditorías de cumplimiento de PCI desempeñen en lugar del Comité PCI.