Processeurs de paiement – ​​Que dois-je savoir si je souhaite accepter les cartes de crédit sur mon site Web ?[fermé]

StackOverflow https://stackoverflow.com/questions/51094

  •  09-06-2019
  •  | 
  •  

Question

Cette question parle des différents processeurs de paiement et de leur coût, mais je cherche la réponse à la question que dois-je faire si je souhaite accepter les paiements par carte de crédit ?

Supposons que j'ai besoin de magasin numéros de carte de crédit pour les clients, de sorte que la solution évidente consistant à s'appuyer sur le processeur de carte de crédit pour faire le gros du travail n'est pas disponible.

Sécurité des données PCI, qui est apparemment la norme pour stocker les informations de carte de crédit, comporte de nombreuses exigences générales, mais comment les mettre en œuvre?

Et qu'en est-il des vendeurs, comme Visa, qui ont leurs propres bonnes pratiques ?

Dois-je avoir un accès par télécommande à la machine ?Et si vous le protégiez physiquement des pirates informatiques dans le bâtiment ?Ou même si quelqu'un mettait la main sur les fichiers de sauvegarde contenant les fichiers de données du serveur SQL ?

Et les sauvegardes ?Existe-t-il d’autres copies physiques de ces données ?

Conseil: Si vous obtenez un compte marchand, vous devez négocier qu'ils vous facturent « interchange-plus » au lieu de tarifs progressifs. Avec une tarification échelonnée, ils vous factureront des tarifs différents en fonction du type de Visa/MC utilisé, c'est-à-dire.ils vous facturent plus pour les cartes auxquelles sont attachées de grosses récompenses.L'échange et la facturation signifient que vous ne payez au processeur que ce que Visa/MC lui facture, plus des frais fixes.(Amex et Discover facturent leurs propres tarifs directement aux commerçants, cela ne s'applique donc pas à ces cartes.Vous constaterez que les tarifs Amex se situent dans la fourchette de 3 % et Discover pourrait être aussi bas que 1 %.Visa/MC est de l'ordre de 2 %). Ce service est censé faire la négociation pour vous (Je ne l'ai pas utilisé, ce n'est pas une publicité et je ne suis pas affilié au site Web, mais ce service est grandement nécessaire.)

Ce billet de blog donne un aperçu complet de la gestion des cartes de crédit (spécifiquement pour le Royaume-Uni).

J'ai peut-être mal formulé la question, mais je recherche des conseils comme ceux-ci :

  1. Utiliser ID sécurisé ou jeton électronique pour ajouter une couche de mot de passe supplémentaire au boîtier physique.
  2. Assurez-vous que la boîte se trouve dans une pièce dotée d’une serrure physique ou d’une combinaison de codes-clés.
Était-ce utile?

La solution

J'ai vécu ce processus il n'y a pas si longtemps avec une entreprise pour laquelle je travaillais et j'ai l'intention de le recommencer bientôt avec ma propre entreprise.Si vous avez quelques connaissances techniques en réseau, ce n'est vraiment pas si mal.Sinon, vous ferez mieux d'utiliser Paypal ou un autre type de service.

Le processus commence par l'obtention d'un compte marchand configuré et lié à votre compte bancaire.Vous voudrez peut-être vérifier auprès de votre banque, car de nombreuses grandes banques proposent des services aux commerçants.Vous pourrez peut-être obtenir des offres, car vous êtes déjà un de leurs clients, mais sinon, vous pouvez magasiner.Si vous envisagez d'accepter Discover ou American Express, ceux-ci seront séparés, car ils fournissent les services marchands pour leurs cartes, ce qui est indéniable.Il existe également d'autres cas particuliers.Il s’agit d’un processus de candidature, soyez prêt.

Ensuite, vous voudrez acheter un Certificat SSL que vous pouvez utiliser pour sécuriser vos communications lorsque les informations de carte de crédit sont transmises sur les réseaux publics.Il existe de nombreux fournisseurs, mais ma règle générale est d'en choisir un qui soit en quelque sorte une marque.Mieux ils sont connus, plus votre client en a probablement entendu parler.

Ensuite, vous souhaiterez trouver un passerelle de paiement à utiliser avec votre site.Bien que cela puisse être facultatif en fonction de votre taille, la plupart du temps, ce ne sera pas le cas.Vous en aurez besoin.Les fournisseurs de passerelles de paiement offrent un moyen de communiquer avec l'API de la passerelle Internet avec laquelle vous communiquerez.La plupart des fournisseurs proposent une communication HTTP ou TCP/IP avec leur API.Ils traiteront les informations de carte de crédit en votre nom.Deux vendeurs sont Autoriser.Net et PayFlow Pro.Le lien que je fournis ci-dessous contient plus d’informations sur d’autres fournisseurs.

Maintenant quoi?Pour commencer, il existe des directives sur ce que votre application doit respecter pour transmettre les transactions.Pendant le processus de configuration, quelqu'un examinera votre site ou votre application et s'assurera que vous respectez les directives, comme l'utilisation de SSL et que vous disposez des conditions d'utilisation et de la documentation relative aux politiques sur l'utilisation des informations que l'utilisateur vous donne. pour.Ne volez pas ceci sur un autre site.Créez le vôtre, engagez un avocat si nécessaire.La plupart de ces éléments relèvent du lien PCI Data Security fourni par Michael dans sa question.

Si vous envisagez de stocker les numéros de carte de crédit, vous feriez mieux d'être prêt à mettre en place des mesures de sécurité en interne pour protéger les informations.Assurez-vous que le serveur sur lequel les informations sont stockées n'est accessible qu'aux membres qui doivent y avoir accès.Comme toute bonne sécurité, vous faites les choses par couches.Plus vous mettez de couches, mieux c'est.Si vous le souhaitez, vous pouvez utiliser la sécurité de type porte-clés, comme ID sécurisé ou jeton électronique pour protéger la salle dans laquelle se trouve le serveur.Si vous ne pouvez pas vous permettre l'itinéraire du porte-clés, utilisez la méthode à deux clés.Permettez à une personne ayant accès à la pièce de signer une clé, qui accompagne une clé qu'elle porte déjà.Ils auront besoin des deux clés pour accéder à la chambre.Ensuite, vous protégez la communication avec le serveur avec des stratégies.Ma politique est que la seule chose qui communique sur le réseau est l'application et que ces informations sont cryptées.Le serveur ne doit être accessible sous aucune autre forme.Pour les sauvegardes, j'utilise vraicrypt pour chiffrer les volumes sur lesquels les sauvegardes seront enregistrées.Chaque fois que les données sont supprimées ou stockées ailleurs, vous utilisez à nouveau truecrypt pour chiffrer le volume sur lequel se trouvent les données.Fondamentalement, où que se trouvent les données, elles doivent être cryptées.Assurez-vous que tous les processus permettant d'accéder aux données comportent des pistes d'audit.utilisez les logs pour accéder à la salle des serveurs, utilisez des caméras si vous le pouvez, etc...Une autre mesure consiste à crypter les informations de carte de crédit dans la base de données.Cela garantit que les données ne peuvent être visualisées que dans votre application, où vous pouvez déterminer qui voit les informations.

j'utilise pfsens pour mon pare-feu.Je l'utilise avec une carte Compact Flash et j'ai configuré deux serveurs.L’une concerne le basculement en cas de redondance.

j'ai trouvé ça article de blog par Rick Strahl qui a énormément aidé à comprendre le commerce électronique et ce qu'il faut pour accepter les cartes de crédit via une application Web.

Eh bien, cela s'est avéré être une longue réponse.J'espère que ces conseils vous aideront.

Autres conseils

Posez-vous la question suivante : pourquoi voulez-vous stocker les numéros de carte de crédit en premier lieu?Il y a de fortes chances que ce ne soit pas le cas.En fait, si vous faire stockez-les et parvenez à vous en faire voler un, vous pourriez vous exposer à une responsabilité sérieuse.

J'ai écrit une application qui stocke les numéros de carte de crédit (puisque les transactions ont été traitées hors ligne).Voici une bonne façon de procéder :

  • Obtenez un certificat SSL !
  • Créez un formulaire pour obtenir le numéro CC de l'utilisateur.
  • Chiffrez une partie (pas la totalité !) du CC# et stockez-la dans votre base de données.(Je suggère les 8 chiffres du milieu.) Utilisez une méthode de cryptage forte et une clé secrète.
  • Envoyez le reste du CC# à la personne qui traite vos transactions (probablement vous-même) avec l'identifiant de la personne à traiter.
  • Lorsque vous vous connecterez plus tard, vous saisirez l’ID et la partie envoyée par la poste du CC#.Votre système peut décrypter l’autre partie et la recombiner pour obtenir le numéro complet afin que vous puissiez traiter la transaction.
  • Enfin, supprimez l'enregistrement en ligne.Ma solution paranoïaque consistait à écraser l'enregistrement avec des données aléatoires avant sa suppression, afin de supprimer la possibilité d'une restauration.

Cela ressemble à beaucoup de travail, mais en n'enregistrant jamais un CC# complet nulle part, vous compliquez extrêmement la tâche d'un pirate informatique qui cherche à trouver quoi que ce soit de valeur sur votre serveur Web.Croyez-moi, cela vaut la tranquillité d'esprit.

Le document PCI 1.2 vient de sortir.Il donne un processus sur la façon de mettre en œuvre la conformité PCI ainsi que les exigences.Vous pouvez retrouver la doc complète ici :

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

Pour faire court, créez un segment de réseau distinct pour les serveurs qui seront dédiés au stockage des informations CC (généralement un ou plusieurs serveurs de base de données).Isolez les données autant que possible et assurez-vous que seul l’accès minimum nécessaire pour accéder aux données est présent.Chiffrez-le lorsque vous le stockez.Ne stockez jamais les PAN.Purgez les anciennes données et faites pivoter vos clés de chiffrement.

Exemples à ne pas faire :

  • Ne laissez pas le même compte qui peut rechercher des informations générales dans la base de données rechercher des informations CC.
  • Ne conservez pas votre base de données CC sur le même serveur physique que votre serveur Web.
  • N'autorisez pas le trafic externe (Internet) dans le segment de réseau de votre base de données CC.

Exemple de choses à faire :

  • Utilisez un compte de base de données distinct pour interroger les informations CC.
  • Interdire tout le trafic sauf requis vers le serveur de base de données CC via un pare-feu/des listes d'accès
  • Restreindre l’accès au serveur CC à un ensemble limité d’utilisateurs autorisés.

J'aimerais ajouter un commentaire non technique auquel vous souhaiterez peut-être réfléchir.

Plusieurs de mes clients gèrent des sites de commerce électronique, dont quelques-uns qui possèdent des magasins de taille moyenne.Les deux, même s'ils pourraient certainement mettre en œuvre une passerelle de paiement, choisissent de ne pas le faire, ils prennent le numéro cc, le stockent temporairement crypté en ligne et le traitent manuellement.

Ils le font en raison de l'incidence élevée de fraude et du traitement manuel qui leur permet d'effectuer des contrôles supplémentaires avant d'exécuter une commande.On me dit qu'ils rejettent un peu plus de 20 % de toutes leurs transactions - le traitement manuel prend certainement plus de temps et dans un cas, ils ont un employé qui ne fait que traiter les transactions, mais le coût du paiement de son salaire est apparemment inférieur à celui de leur personnel. exposition s’ils viennent de transmettre des numéros cc via une passerelle en ligne.

Ces deux clients livrent des biens physiques ayant une valeur de revente, ils sont donc particulièrement exposés et pour des articles tels que des logiciels pour lesquels une vente frauduleuse n'entraînerait aucune perte réelle, votre kilométrage varierait, mais cela vaut la peine de considérer ci-dessus les aspects techniques d'une passerelle en ligne. si la mise en œuvre d'un tel est vraiment ce que vous voulez.

MODIFIER:Et depuis la création de cette réponse, j'aimerais ajouter une mise en garde et dire que le temps est révolu où c'était une bonne idée.

Pourquoi?Parce que je connais un autre contact qui adoptait une approche similaire.Les détails de la carte ont été stockés cryptés, le site Web a été consulté via SSL et les numéros ont été supprimés immédiatement après le traitement.Sécurisé, vous pensez ?

Non : une machine de leur réseau a été infectée par un cheval de Troie de journalisation de clés.En conséquence, ils ont été identifiés comme étant à l'origine de plusieurs contrefaçons de cartes de crédit et ont par conséquent été frappés d'une lourde amende.

En conséquence, je maintenant jamais conseillez à quiconque de gérer lui-même les cartes de crédit.Depuis, les passerelles de paiement sont devenues beaucoup plus compétitives et rentables, et les mesures anti-fraude se sont améliorées.Le risque n’en vaut plus la peine.

Je pourrais supprimer cette réponse, mais je pense qu'il est préférable de la laisser modifiée à titre de mise en garde.

Gardez à l’esprit qu’utiliser SSL pour envoyer un numéro de carte depuis un navigateur vers un serveur revient à couvrir votre numéro de carte de crédit avec votre pouce lorsque vous remettez votre carte à un caissier dans un restaurant :votre pouce (SSL) empêche les autres clients du restaurant (le Net) de voir la carte, mais une fois la carte entre les mains du caissier (un serveur web) la carte n'est plus protégée par l'échange SSL, et le caissier je pourrais faire n'importe quoi avec cette carte.L'accès à un numéro de carte enregistré ne peut être arrêté que par la sécurité du serveur Web.Autrement dit, la plupart des vols de cartes sur le net ne sont pas effectués pendant la transmission, mais en brisant la mauvaise sécurité du serveur et en volant des bases de données.

Pourquoi s'embêter avec la conformité PCI ??Au mieux, vous réduirez d'une fraction de pour cent vos frais de traitement.C'est l'un de ces cas où vous devez être sûr que c'est ce que vous voulez faire de votre temps, à la fois au début du développement et au fil du temps, pour répondre aux dernières exigences.

Dans notre cas, il était plus logique d’utiliser une passerelle nécessitant un abonnement et de l’associer à un compte marchand.La passerelle nécessitant un abonnement vous permet d'ignorer toute la conformité PCI et de ne rien faire d'autre que de traiter la transaction proprement dite.

Nous utilisons TrustCommerce comme passerelle et sommes satisfaits de leur service/prix.Ils ont du code pour un tas de langages qui rend l'intégration assez facile.

Assurez-vous de bien maîtriser le travail supplémentaire et le budget requis pour PCI.PCI peut nécessiter d'énormes frais d'audit externe et des efforts/soutien internes.Soyez également conscient des amendes/pénalités qui peuvent vous être infligées unilatéralement, souvent extrêmement disproportionnées par rapport à l'ampleur de « l'infraction ».

Il y a beaucoup de choses dans tout le processus.Le moyen le plus simple de le faire est d'utiliser des services similaires à Paypal, afin de ne jamais gérer les données de carte de crédit.En dehors de cela, il y a pas mal de choses à faire pour obtenir l'autorisation d'offrir des services de carte de crédit sur votre site Web.Vous devriez probablement parler avec votre banque et les personnes qui délivrent votre identifiant de commerçant pour vous aider à mettre en place le processus.

Comme d'autres l'ont mentionné, le moyen le plus simple d'accéder à ce domaine consiste à utiliser Pay Pal, Google Checkout ou Nochex.Cependant, si vous avez l'intention de réaliser un volume d'affaires important, vous souhaiterez peut-être rechercher une "mise à niveau" vers des services d'intégration de sites de niveau supérieur tels que WorldPay, NetBanx (Royaume-Uni) ou Neteller (États-Unis).Tous ces services sont raisonnablement faciles à mettre en place.Et je sais que Netbanx offre une intégration pratique dans certaines solutions de panier d'achat standard telles que Intermagasin (parce que j'en ai écrit quelques-uns).Au-delà de cela, vous envisagez une intégration directe avec les systèmes bancaires (et leurs systèmes APAX), mais c'est difficile et à ce stade, vous devez également prouver aux sociétés de cartes de crédit que vous gérez les numéros de carte de crédit en toute sécurité (cela ne vaut probablement pas la peine d'envisager si vous ne prenez pas 100 000 $ par mois).

En travaillant du premier au dernier, les coûts/avantages sont que les premières options sont beaucoup plus faciles (plus rapides/moins chères) à mettre en place et que vous payez des frais de traitement assez élevés pour chaque transaction.les dernières sont beaucoup plus coûteuses à mettre en place mais vous payez moins à long terme.

L'autre avantage de la plupart des solutions non dédiées est que vous n'avez pas besoin de sécuriser les numéros de carte de crédit cryptés.C'est le problème de quelqu'un d'autre :-)

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top