Come menzionato sopra, non memorizzare le informazioni sulla carta di credito in un database. È una ricetta per problemi. Ciò ti renderà un bersaglio molto attraente per gli hacker e, se hanno successo nel recuperarli, finisci la tua attività e potenzialmente rovinando la tua vita e la vita di coloro i cui numeri di carta di credito sono rubati.
Avendo detto che, ecco tre cose da considerare:
1) La soluzione migliore è utilizzare un processore di pagamento / gateway di pagamento che offre una fatturazione ricorrente. Un esempio di questo è Autorize.net's Autostradanding Fatturazione ricorrente Servizio. Una volta configurata l'abbonamento, faranno spedire automaticamente l'utente ogni mese per te e ti consente di sapere i risultati della transazione. Ti fa risparmiare un sacco di lavoro e ti allevia della responsabilità della memorizzazione delle informazioni sulla carta di credito.
2) Se si eseguono i numeri della carta di credito del negozio del negozio è necessario seguire Linee guida PCI . Queste linee guida sono impostate dall'industria delle carte di pagamento e definiscono cosa puoi e non può fare. Definisce anche il modo in cui le informazioni sulla carta di credito devono essere memorizzate. Dovrai crittografare i numeri della carta di credito e dovresti, ma non è necessario, non è necessario, crittografare le informazioni relative (data di scadenza, ecc.). Sarai anche necessario assicurarsi che il server web e la rete siano sicuri. Non riuscire a soddisfare la conformità PCI comporterà la perdita del conto commerciante e di essere bandita dall'avere un vero account commerciante per sempre. Ciò ti limiterà a utilizzare processori di terze parti che sono meno flessibili. Tieni presente che le linee guida PCI sono un buon inizio ma difficilmente un "Come" quando si tratta di sicurezza online. Il tuo obiettivo sarebbe quello di superare la raccomandazione (da molto).
3) Le leggi specifiche dello stato e del paese supersde la conformità PCI. Se si soffre di una violazione e dei numeri di carte di credito vengono rubati per il rischio di accusa penale. Le leggi variano da stato a stato e sono costantemente in flusso mentre i legislatori stanno solo cominciando a capire quanto sia grave di una questione.
Per quanto riguarda la crittografia, assicurati di leggere su cui sono sicuri gli algoritmi di crittografia e non sono ancora stati interrotti. Blowfish è un buon inizio e se usi PHP il MCRypt Library è consigliato ( Esempio ).