Comme mentionné ci-dessus, ne stockez pas les informations de carte de crédit dans une base de données. C'est une recette pour les problèmes. Cela fera de vous une cible très attrayante pour les pirates informatiques et, s'ils réussissent à les récupérer, finissent votre entreprise et potentiellement ruiner votre vie ainsi que la vie de ceux dont les numéros de carte de crédit sont volés.
Cela dit, voici trois choses à considérer:
1) Votre meilleur pari est d'utiliser un processeur de paiement / passerelle de paiement qui offre une facturation récurrente. Un exemple de ceci est Facturation automatisée de la facturation récurrente de l'autorisation.net . Une fois que vous avez configuré l'abonnement, ils facturent automatiquement l'utilisateur chaque mois pour vous automatiquement et vous permettront de connaître les résultats de la transaction. Cela vous permet d'économiser une tonne de travail et vous soulage à la responsabilité de stocker des informations de carte de crédit.
2) Si vous stockez des numéros de carte de crédit en magasin, vous devez suivre directives PCI . Ces directives sont définies par l'industrie des cartes de paiement et définissent ce que vous pouvez et ne pouvez pas faire. Il définit également la manière dont les informations de carte de crédit doivent être stockées. Vous devrez crypter les numéros de carte de crédit et vous devrez, mais ne sont pas tenus de chiffrer des informations connexes (date d'expiration, etc.). Vous devrez également veiller à ce que votre serveur Web et votre réseau soient sécurisés. À défaut de répondre à la conformité PCI entraînera perdre votre compte marchand et être interdit d'avoir un vrai compte marchand pour toujours. Cela vous limiterait à utiliser des processeurs tiers qui sont moins flexibles. N'oubliez pas que les directives PCI sont un bon début, mais difficilement «Comment» en matière de sécurité en ligne. Votre objectif serait de dépasser la recommandation (par beaucoup).
3) Les lois spécifiques d'État et de pays remplacent la conformité du PCI. Si vous subissez une violation et des numéros de carte de crédit sont volés, vous risquez des poursuites pénales. Les lois varient d'un État à l'autre et sont constamment en flux, car les législateurs commencent tout simplement à se rendre compte de la gravité de la question.
En ce qui concerne le cryptage, assurez-vous de lire les algorithmes de cryptage sécurisés et que vous n'avez pas encore été cassé. Blowfish est un bon départ et si vous utilisez php le MCRYPT Library est recommandé ( Exemple ).