Salvataggio delle informazioni sulla carta di credito nel database MySQL?[Chiuso]

Question

.

CHIUSO . Questa domanda deve essere più focalizzata . Attualmente non accetta risposte.

---

Vuoi migliorare questa domanda? Aggiorna la domanda in modo che si concentra su un problema solo da Modifica di questo post .

chiuso 5 anni fa .

Migliora questa domanda .

Voglio consentire ai miei utenti dei clienti di inserire le loro informazioni sulla carta di credito in modo che io possa caricarli ogni mese.

Mi chiedo come si dovrebbe salvare queste informazioni?

Dovrebbe essere salvato nel database MySQL (tabella "utente") o è questo tipo di informazioni troppo sensibile e devono essere memorizzate in un altro posto?

Non ho esperienza di questo e sarebbe contento se qualcuno potesse consigliare come realizzarlo.

Grazie.

Answer 1

Come menzionato sopra, non memorizzare le informazioni sulla carta di credito in un database. È una ricetta per problemi. Ciò ti renderà un bersaglio molto attraente per gli hacker e, se hanno successo nel recuperarli, finisci la tua attività e potenzialmente rovinando la tua vita e la vita di coloro i cui numeri di carta di credito sono rubati.

Avendo detto che, ecco tre cose da considerare:

1) La soluzione migliore è utilizzare un processore di pagamento / gateway di pagamento che offre una fatturazione ricorrente. Un esempio di questo è Autorize.net's Autostradanding Fatturazione ricorrente Servizio. Una volta configurata l'abbonamento, faranno spedire automaticamente l'utente ogni mese per te e ti consente di sapere i risultati della transazione. Ti fa risparmiare un sacco di lavoro e ti allevia della responsabilità della memorizzazione delle informazioni sulla carta di credito.

2) Se si eseguono i numeri della carta di credito del negozio del negozio è necessario seguire Linee guida PCI . Queste linee guida sono impostate dall'industria delle carte di pagamento e definiscono cosa puoi e non può fare. Definisce anche il modo in cui le informazioni sulla carta di credito devono essere memorizzate. Dovrai crittografare i numeri della carta di credito e dovresti, ma non è necessario, non è necessario, crittografare le informazioni relative (data di scadenza, ecc.). Sarai anche necessario assicurarsi che il server web e la rete siano sicuri. Non riuscire a soddisfare la conformità PCI comporterà la perdita del conto commerciante e di essere bandita dall'avere un vero account commerciante per sempre. Ciò ti limiterà a utilizzare processori di terze parti che sono meno flessibili. Tieni presente che le linee guida PCI sono un buon inizio ma difficilmente un "Come" quando si tratta di sicurezza online. Il tuo obiettivo sarebbe quello di superare la raccomandazione (da molto).

3) Le leggi specifiche dello stato e del paese supersde la conformità PCI. Se si soffre di una violazione e dei numeri di carte di credito vengono rubati per il rischio di accusa penale. Le leggi variano da stato a stato e sono costantemente in flusso mentre i legislatori stanno solo cominciando a capire quanto sia grave di una questione.

Per quanto riguarda la crittografia, assicurati di leggere su cui sono sicuri gli algoritmi di crittografia e non sono ancora stati interrotti. Blowfish è un buon inizio e se usi PHP il MCRypt Library è consigliato ( Esempio ).

Answer 2

Il modo più sicuro è quello di non memorizzare le informazioni sulla carta di credito sul tuo sistema, ma lasciare un provider di pagamento a 3 ^{RD PARTYtu.}

Answer 3

Non è richiesto di utilizzare un provider di pagamento di terza parte come Paypal, ecc. - Ma è necessario essere Conformità PCI se stai per memorizzare le informazioni sulla carta di pagamento.Leggi questo articolo su BC Ferries, che affrontano amminenti sostanziali per non essere aggiornati con la conformità PCI per cogliere quanto è serio essere conforme a PCI.

Il mio attuale datore di lavoro sta attraversando la conformità PCI - non è un processo banale e richiede il personale per l'auditing.L'applicazione dipende dal paese e dalle leggi di Stato / Provincia - Canada IIRC richiede di essere certificata PCI da un comitato PCI impiegato, mentre alcuni Stati negli Stati Uniti consentono alle società di controllo delle conformità PCI di servire al posto del comitato PCI.