Sauvegarder les informations de carte de crédit dans la base de données MySQL?[fermé]

Question

fermé . Cette question doit être plus concentré . Il n'accepte pas actuellement les réponses.

---

Voulez-vous améliorer cette question? Mettre à jour la question de sorte qu'il se concentre sur un problème uniquement par Modification de cet article .

FERMÉ Il y a 5 ans .

.

Améliorer cette question

Je veux permettre aux utilisateurs de mes clients de saisir leurs informations de carte de crédit afin que je puisse les charger tous les mois.

Je me demande comment on devrait enregistrer ces informations?

devrait-il être enregistré dans la base de données MySQL (table "utilisateur") ou ce type d'informations trop sensible et doit être stockée dans un autre endroit?

Je n'ai aucune expérience de cela et serais heureux que quelqu'un puisse me conseiller comment accomplir cela.

merci.

Answer 1

Comme mentionné ci-dessus, ne stockez pas les informations de carte de crédit dans une base de données. C'est une recette pour les problèmes. Cela fera de vous une cible très attrayante pour les pirates informatiques et, s'ils réussissent à les récupérer, finissent votre entreprise et potentiellement ruiner votre vie ainsi que la vie de ceux dont les numéros de carte de crédit sont volés.

Cela dit, voici trois choses à considérer:

1) Votre meilleur pari est d'utiliser un processeur de paiement / passerelle de paiement qui offre une facturation récurrente. Un exemple de ceci est Facturation automatisée de la facturation récurrente de l'autorisation.net . Une fois que vous avez configuré l'abonnement, ils facturent automatiquement l'utilisateur chaque mois pour vous automatiquement et vous permettront de connaître les résultats de la transaction. Cela vous permet d'économiser une tonne de travail et vous soulage à la responsabilité de stocker des informations de carte de crédit.

2) Si vous stockez des numéros de carte de crédit en magasin, vous devez suivre directives PCI . Ces directives sont définies par l'industrie des cartes de paiement et définissent ce que vous pouvez et ne pouvez pas faire. Il définit également la manière dont les informations de carte de crédit doivent être stockées. Vous devrez crypter les numéros de carte de crédit et vous devrez, mais ne sont pas tenus de chiffrer des informations connexes (date d'expiration, etc.). Vous devrez également veiller à ce que votre serveur Web et votre réseau soient sécurisés. À défaut de répondre à la conformité PCI entraînera perdre votre compte marchand et être interdit d'avoir un vrai compte marchand pour toujours. Cela vous limiterait à utiliser des processeurs tiers qui sont moins flexibles. N'oubliez pas que les directives PCI sont un bon début, mais difficilement «Comment» en matière de sécurité en ligne. Votre objectif serait de dépasser la recommandation (par beaucoup).

3) Les lois spécifiques d'État et de pays remplacent la conformité du PCI. Si vous subissez une violation et des numéros de carte de crédit sont volés, vous risquez des poursuites pénales. Les lois varient d'un État à l'autre et sont constamment en flux, car les législateurs commencent tout simplement à se rendre compte de la gravité de la question.

En ce qui concerne le cryptage, assurez-vous de lire les algorithmes de cryptage sécurisés et que vous n'avez pas encore été cassé. Blowfish est un bon départ et si vous utilisez php le MCRYPT Library est recommandé ( Exemple ).

Answer 2

Le moyen le plus sûr est de pas Stockez les informations de carte de crédit sur votre système, mais laissez un fournisseur de paiement de 3 ^{rd le faire pourvous.}

Answer 3

Il n'est pas nécessaire que vous utilisiez un fournisseur de paiement tiers comme PayPal, etc. - mais vous devez être Compatible PCI si vous allez stocker des informations sur la carte de paiement.Lisez cet article sur BC Ferries, qui font face à des amendes substantielles pour ne pas se tenir au courant de la conformité PCI pour saisir à quel point il est sérieux d'être conforme à PCI.

Mon employeur actuel traverse la conformité PCI - ce n'est pas un processus trivial et nécessite du personnel pour l'audit.La mise en application dépend des lois sur le pays et les lois de l'État et de la province - CANADA IIRC exige que vous soyez certifié PCI par un comité employé PCI, tandis que certains États des États-Unis permettent aux entreprises de vérification de la conformité de PCI de servir à la place du comité PCI.