Procesadores de pagos: ¿Qué necesito saber si quiero aceptar tarjetas de crédito en mi sitio web?[cerrado]

Question

Esta pregunta habla sobre diferentes procesadores de pagos y lo que cuestan, pero estoy buscando la respuesta a ¿qué debo hacer si quiero aceptar pagos con tarjeta de crédito?

Supongo que necesito almacenar números de tarjetas de crédito para los clientes, de modo que la solución obvia de confiar en el procesador de tarjetas de crédito para hacer el trabajo pesado no está disponible.

Seguridad de datos PCI, que aparentemente es el estándar para almacenar información de tarjetas de crédito, tiene una serie de requisitos generales, pero ¿Cómo se implementan??

¿Y qué pasa con los vendedores, como Visa, ¿quiénes tienen sus propias mejores prácticas?

¿Necesito tener acceso mediante llavero a la máquina?¿Qué tal protegerlo físicamente de los piratas informáticos en el edificio?¿O incluso qué pasaría si alguien tuviera en sus manos los archivos de respaldo con los archivos de datos del servidor SQL?

¿Qué pasa con las copias de seguridad?¿Existen otras copias físicas de esos datos?

Consejo: Si obtiene una cuenta de comerciante, debe negociar que le cobren "interchange-plus" en lugar de precios escalonados. Con precios escalonados, le cobrarán tarifas diferentes según el tipo de Visa/MC que se utilice, es decir.te cobran más por las tarjetas con grandes recompensas adjuntas.Intercambio más facturación significa que usted solo le paga al procesador lo que Visa/MC les cobra, más una tarifa fija.(Amex y Discover cobran sus propias tarifas directamente a los comerciantes, por lo que esto no se aplica a esas tarjetas.Encontrará que las tarifas de Amex están en el rango del 3% y Discover podría ser tan bajo como el 1%.Visa/MC está en el rango del 2%). Se supone que este servicio hace la negociación por usted. (No lo he usado, esto no es un anuncio y no estoy afiliado al sitio web, pero este servicio es muy necesario).

Esta publicación de blog ofrece una resumen completo del manejo de tarjetas de crédito (específicamente para el Reino Unido).

---

Quizás formulé mal la pregunta, pero estoy buscando consejos como estos:

1. Usar ID seguro o token electrónico para agregar una capa de contraseña adicional al cuadro físico.
2. Asegúrese de que la caja esté en una habitación con una cerradura física o una combinación de código clave.

Answer 1

Pasé por este proceso no hace mucho con una empresa para la que trabajé y planeo volver a hacerlo pronto con mi propio negocio.Si tienes algún conocimiento técnico de redes, realmente no es tan malo.De lo contrario será mejor que utilices Paypal u otro tipo de servicio.

El proceso comienza con la obtención de un cuenta comercial configurado y vinculado a su cuenta bancaria.Es posible que desees consultar con tu banco, porque muchos de los principales bancos ofrecen servicios comerciales.Es posible que pueda conseguir ofertas porque ya es cliente de ellos, pero si no, puede comparar precios.Si planea aceptar Discover o American Express, serán separados, porque ellos brindan los servicios comerciales para sus tarjetas, no hay forma de evitar esto.También hay otros casos especiales.Este es un proceso de solicitud, esté preparado.

A continuación querrás comprar un certificado SSL que puede utilizar para proteger sus comunicaciones cuando la información de la tarjeta de crédito se transmite a través de redes públicas.Hay muchos proveedores, pero mi regla general es elegir uno que sea de alguna manera una marca.Cuanto más conocidos sean, mejor probablemente habrá oído hablar de ellos su cliente.

A continuación querrás encontrar un pasarela de pago para usar con su sitio.Aunque esto puede ser opcional dependiendo de qué tan grande seas, la mayoría de las veces no lo será.Necesitarás uno.Los proveedores de pasarelas de pago proporcionan una forma de comunicarse con la API de la pasarela de Internet con la que se comunicará.La mayoría de los proveedores proporcionan comunicación HTTP o TCP/IP con su API.Procesarán la información de la tarjeta de crédito en su nombre.Dos proveedores son Autorizar.Net y Flujo de pago Pro.El enlace que proporciono a continuación tiene más información sobre otros proveedores.

¿Ahora que?Para empezar, existen pautas sobre lo que debe cumplir su aplicación para transmitir las transacciones.Durante el proceso de configuración de todo, alguien revisará su sitio o aplicación y se asegurará de que cumple con las pautas, como el uso de SSL, y de que tiene términos de uso y documentación de políticas sobre cómo se utiliza la información que le brinda el usuario. para.No robes esto de otro sitio.Cree el suyo propio y contrate a un abogado si es necesario.La mayoría de estas cosas se incluyen en el enlace PCI Data Security que Michael proporcionó en su pregunta.

Si planea almacenar los números de tarjetas de crédito, será mejor que esté preparado para implementar algunas medidas de seguridad internamente para proteger la información.Asegúrese de que solo los miembros que necesitan tener acceso puedan acceder al servidor en el que se almacena la información.Como cualquier buena seguridad, las cosas se hacen en capas.Cuantas más capas coloques, mejor.Si lo desea, puede utilizar seguridad tipo llavero, como ID segura o token electrónico para proteger la sala en la que se encuentra el servidor.Si no puede pagar la ruta del llavero, utilice el método de dos llaves.Permita que una persona que tenga acceso a la habitación firme una llave, que va junto con una llave que ya lleva.Necesitarán ambas llaves para acceder a la habitación.A continuación, protege la comunicación con el servidor con políticas.Mi política es que lo único que se comunica a través de la red es la aplicación y esa información está cifrada.No se debe poder acceder al servidor de ninguna otra forma.Para copias de seguridad, uso cripta verdadera para cifrar los volúmenes en los que se guardarán las copias de seguridad.Cada vez que los datos se eliminan o almacenan en otro lugar, se vuelve a utilizar truecrypt para cifrar el volumen en el que se encuentran los datos.Básicamente, dondequiera que estén los datos, es necesario cifrarlos.Asegúrese de que todos los procesos para acceder a los datos incluyan pistas de auditoría.use registros para acceder a la sala del servidor, use cámaras si puede, etc.Otra medida es cifrar la información de la tarjeta de crédito en la base de datos.Esto garantiza que los datos solo se puedan ver en su aplicación, donde puede exigir quién ve la información.

yo suelo pfsentido para mi cortafuegos.Lo ejecuto desde una tarjeta flash compacta y tengo dos servidores configurados.Uno es para conmutación por error por redundancia.

encontré esto entrada en el blog de Rick Strahl que ayudó enormemente a comprender el comercio electrónico y lo que se necesita para aceptar tarjetas de crédito a través de una aplicación web.

Bueno, esta resultó ser una respuesta larga.Espero que estos consejos ayuden.

Answer 2

Hágase la siguiente pregunta: ¿Por qué desea almacenar números de tarjetas de crédito en primer lugar??Lo más probable es que no lo hagas.De hecho, si tu hacer Si los guarda y logra que le roben uno, podría enfrentarse a una responsabilidad grave.

Escribí una aplicación que almacena números de tarjetas de crédito (ya que las transacciones se procesaron sin conexión).Aquí tienes una buena forma de hacerlo:

• ¡Obtenga un certificado SSL!
• Cree un formulario para obtener CC# del usuario.
• Cifre parte (¡no todo!) del CC# y guárdelo en su base de datos.(Yo sugeriría los 8 dígitos del medio). Utilice un método de cifrado seguro y una clave secreta.
• Envíe el resto del CC# a quien procese sus transacciones (probablemente usted mismo) con la identificación de la persona a procesar.
• Cuando inicie sesión más tarde, escribirá la identificación y la parte enviada por correo del número de CC.Su sistema puede descifrar la otra parte y recombinarla para obtener el número completo para que pueda procesar la transacción.
• Finalmente, elimine el registro en línea.Mi solución paranoica fue sobrescribir el registro con datos aleatorios antes de eliminarlo, para eliminar la posibilidad de recuperarlo.

Esto parece mucho trabajo, pero al no grabar nunca un CC# completo en ningún lugar, hace que sea extremadamente difícil para un hacker encontrar algo de valor en su servidor web.Créame, vale la pena tener tranquilidad.

Answer 3

Acaba de salir el documento PCI 1.2.Proporciona un proceso sobre cómo implementar el cumplimiento de PCI junto con los requisitos.Puede encontrar el documento completo aquí:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

En pocas palabras, cree un segmento de red separado para los servidores que se dedicarán a almacenar información CC (generalmente servidores de base de datos).Aísle los datos tanto como sea posible y asegúrese de que solo esté presente el acceso mínimo necesario para acceder a los datos.Cifrelo cuando lo almacene.Nunca almacene PAN.Purgue los datos antiguos y rote sus claves de cifrado.

Ejemplos de lo que no se debe hacer:

• No permita que la misma cuenta que puede buscar información general en la base de datos busque información CC.
• No mantenga su base de datos CC en el mismo servidor físico que su servidor web.
• No permita el tráfico externo (Internet) en el segmento de red de su base de datos CC.

Ejemplo dos:

• Utilice una cuenta de base de datos separada para consultar información de CC.
• No permitir todo el tráfico excepto el requerido al servidor de base de datos CC a través de firewall/listas de acceso
• Restrinja el acceso al servidor CC a un conjunto limitado de usuarios autorizados.

Answer 4

Me gustaría agregar un comentario no técnico en el que tal vez quieras pensar.

Varios de mis clientes administran sitios de comercio electrónico, incluido un par que tiene tiendas moderadamente grandes.Ambos, aunque ciertamente podrían implementar una pasarela de pago, eligen no hacerlo, toman el número cc, lo almacenan temporalmente cifrado en línea y lo procesan manualmente.

Lo hacen debido a la alta incidencia de fraude y el procesamiento manual les permite realizar controles adicionales antes de completar un pedido.Me dijeron que rechazan un poco más del 20% de todas sus transacciones; el procesamiento manual ciertamente lleva más tiempo y en un caso tienen un empleado que no hace más que procesar transacciones, pero el costo de pagar su salario es aparentemente menor que su exposición si acaban de pasar números cc a través de una puerta de enlace en línea.

Ambos clientes entregan productos físicos con valor de reventa, por lo que están particularmente expuestos y para artículos como software donde una venta fraudulenta no resultaría en ninguna pérdida real, su millaje variaría, pero vale la pena considerar los aspectos técnicos de una puerta de enlace en línea. si implementarlo es realmente lo que desea.

EDITAR:Y desde que creé esta respuesta, me gustaría agregar una advertencia y decir que ya pasó el tiempo en que esto era una buena idea.

¿Por qué?Porque conozco otro contacto que estaba adoptando un enfoque similar.Los datos de la tarjeta se almacenaron encriptados, se accedió al sitio web mediante SSL y los números se eliminaron inmediatamente después del procesamiento.¿Seguro crees?

Ninguna máquina de su red quedó infectada por un troyano de registro de claves.Como resultado, fueron identificados como la fuente de varias falsificaciones de tarjetas de crédito y, en consecuencia, se les impuso una gran multa.

Como resultado de esto ahora nunca Aconsejo a cualquiera que maneje las tarjetas de crédito ellos mismos.Desde entonces, las pasarelas de pago se han vuelto mucho más competitivas y rentables, y las medidas contra el fraude han mejorado.El riesgo ya no vale la pena.

Podría eliminar esta respuesta, pero creo que es mejor dejarla editada como advertencia.

Answer 5

Tenga en cuenta que usar SSL para enviar un número de tarjeta desde un navegador a un servidor es como cubrir el número de su tarjeta de crédito con el pulgar cuando se la entrega al cajero de un restaurante:su pulgar (SSL) evita que otros clientes en el restaurante (la Red) vean la tarjeta, pero una vez que la tarjeta está en manos del cajero (un servidor web), la tarjeta ya no está protegida por el intercambio SSL y el cajero Podría estar haciendo cualquier cosa con esa tarjeta.El acceso a un número de tarjeta guardado solo puede detenerse mediante la seguridad del servidor web.Es decir, la mayoría de los robos de tarjetas en la red no se realizan durante la transmisión, sino rompiendo la mala seguridad del servidor y robando bases de datos.

Answer 6

¿Por qué preocuparse por el cumplimiento de PCI?En el mejor de los casos, reducirá una fracción del porcentaje de sus tarifas de procesamiento.Este es uno de esos casos en los que debe estar seguro de que esto es lo que desea hacer con su tiempo, tanto desde el principio del desarrollo como a lo largo del tiempo, para mantenerse al día con los últimos requisitos.

En nuestro caso, tenía más sentido utilizar una puerta de enlace con suscripción y vincularla con una cuenta de comerciante.La puerta de enlace de suscripción le permite omitir todo el cumplimiento de PCI y no hacer nada más que procesar la transacción correctamente.

Utilizamos TrustCommerce como nuestra puerta de entrada y estamos satisfechos con su servicio y precios.Tienen código para varios lenguajes que facilitan bastante la integración.

Answer 7

Asegúrese de controlar el trabajo adicional y el presupuesto necesarios para PCI.PCI puede requerir enormes honorarios de auditoría externa y esfuerzo/apoyo interno.También tenga en cuenta las multas/sanciones que se le pueden imponer unilateralmente, a menudo enormemente desproporcionadas con respecto a la escala del "delito".

Answer 8

Hay mucho en todo el proceso.La forma más sencilla de hacerlo es utilizar servicios similares a PayPal, de modo que nunca manejes datos de tarjetas de crédito.Aparte de eso, hay muchas cosas por hacer para obtener la aprobación para ofrecer servicios de tarjetas de crédito en su sitio web.Probablemente deberías hablar con tu banco y con las personas que emiten tu identificación de comerciante para que te ayuden a configurar el proceso.

Answer 9

Como otros han mencionado, la forma más fácil de ingresar a esta área es con el uso de PayPal, Google Checkout o Nochex.Sin embargo, si tiene la intención de realizar una cantidad significativa de negocios, es posible que desee buscar "actualizar" a servicios de integración de sitios de nivel superior, como Pago Mundial, NetBanx (Reino Unido) o Neteller (Estados Unidos).Todos estos servicios son razonablemente fáciles de configurar.Y sé que Netbanx ofrece una integración conveniente con algunas de las soluciones de carrito de compras disponibles en el mercado, como Intertienda (porque escribí algunos de ellos).Más allá de eso, está buscando una integración directa con los sistemas bancarios (y sus sistemas APAX), pero eso es difícil y en ese punto también debe demostrar a las compañías de tarjetas de crédito que está manejando los números de tarjetas de crédito de forma segura (probablemente no valga la pena considerarlo si no estás tomando el valor de $100 mil por mes).

Trabajando desde el principio hasta el final, el costo/beneficio es que las primeras opciones son mucho más fáciles (más rápidas/más baratas) de configurar y usted paga cargos de manejo bastante altos por cada transacción.los últimos son mucho más costosos de configurar pero a la larga se paga menos.

La otra ventaja de la mayoría de las soluciones no dedicadas es que no es necesario mantener seguros los números de tarjetas de crédito cifrados.Ese es el problema de otra persona :-)