결제 처리자 - 내 웹사이트에서 신용카드를 허용하려면 무엇을 알아야 합니까?[닫은]

StackOverflow https://stackoverflow.com/questions/51094

  •  09-06-2019
  •  | 
  •  

문제

이 질문 다양한 결제 처리업체와 비용에 대해 설명합니다. 신용카드 결제를 수락하려면 어떻게 해야 하는지에 대한 답을 찾고 있습니다.

내가해야한다고 가정 가게 따라서 신용카드 처리업체에 의존하여 무거운 작업을 수행하는 확실한 솔루션을 사용할 수 없습니다.

PCI 데이터 보안, 신용카드 정보를 저장하는 표준인 것으로 보이는 은 일반적인 요구 사항이 많이 있지만 어떻게 구현하나요??

그리고 공급업체는 어떻습니까? 비자, 자신만의 모범 사례를 갖고 있는 사람은 누구입니까?

기계에 전자열쇠로 접근할 수 있어야 합니까?건물 내 해커로부터 물리적으로 보호하는 것은 어떻습니까?아니면 누군가가 SQL Server 데이터 파일이 포함된 백업 파일을 손에 넣었다면 어떻게 될까요?

백업은 어떻습니까?주변에 해당 데이터의 다른 물리적 사본이 있습니까?

팁: 판매자 계정을 얻은 경우 계층별 가격 대신 "인터체인지 플러스" 요금을 청구하도록 협상해야 합니다. 계층화된 가격을 사용하면 사용되는 Visa/MC 유형에 따라 다른 요금이 부과됩니다.그들은 큰 보상이 붙어 있는 카드에 대해 더 많은 비용을 청구합니다.Interchange plus billing은 Visa/MC가 청구하는 금액과 정액 수수료만 처리자에게 지불한다는 의미입니다.(Amex와 Discover는 자체 요금을 판매자에게 직접 청구하므로 해당 카드에는 적용되지 않습니다.Amex 요금은 3% 범위에 있고 Discover는 1%만큼 낮을 수 있습니다.Visa/MC는 2% 범위 내입니다.) 이 서비스는 귀하를 대신하여 협상을 수행하도록 되어 있습니다. (저는 사용해본 적도 없고, 광고도 아니고, 해당 사이트와 제휴한 것도 아니지만 이 서비스가 꼭 필요합니다.)

이 블로그 게시물은 신용카드 취급에 대한 전체 개요 (특히 영국의 경우).

아마도 질문을 잘못 표현했을 수도 있지만 다음과 같은 팁을 찾고 있습니다.

  1. 사용 SecurID 또는 e토큰 물리적 상자에 추가 비밀번호 레이어를 추가합니다.
  2. 상자가 물리적인 자물쇠나 키코드 조합이 있는 방에 있는지 확인하세요.
도움이 되었습니까?

해결책

저는 얼마 전 제가 일했던 회사에서 이런 과정을 겪었고, 제 사업에서도 곧 다시 겪을 계획입니다.네트워크 기술에 대한 지식이 있다면 실제로 그렇게 나쁘지는 않습니다.그렇지 않으면 Paypal이나 다른 유형의 서비스를 이용하는 것이 더 나을 것입니다.

프로세스는 상인 계좌 설정하고 은행 계좌에 연결합니다.많은 주요 은행이 판매자 서비스를 제공하므로 은행에 문의해 보는 것이 좋습니다.당신은 이미 그들의 고객이기 때문에 거래를 성사시킬 수 있지만, 그렇지 않은 경우에는 쇼핑을 할 수 있습니다.Discover 또는 American Express를 허용할 계획이라면 카드에 대한 판매자 서비스를 제공하므로 이 문제를 해결할 필요가 없으므로 별도로 처리됩니다.다른 특별한 경우도 있습니다.이것은 신청 절차이므로 준비하십시오.

다음으로 당신은 SSL 인증서 신용 카드 정보가 공용 네트워크를 통해 전송될 때 통신 보안을 위해 사용할 수 있습니다.업체는 많지만, 제 경험상 브랜드 이름이 있는 업체를 고르는 것이 제 기준입니다.더 잘 알려질수록 고객이 더 잘 알게 될 것입니다.

다음으로 당신은 지불 게이트웨이 귀하의 사이트와 함께 사용하십시오.이는 규모에 따라 선택 사항일 수 있지만 대부분의 경우 그렇지 않습니다.하나가 필요합니다.결제 게이트웨이 공급업체는 귀하가 통신할 인터넷 게이트웨이 API와 통신할 수 있는 방법을 제공합니다.대부분의 공급업체는 API를 통해 HTTP 또는 TCP/IP 통신을 제공합니다.귀하를 대신하여 신용카드 정보를 처리해 드립니다.판매업체는 2곳 Authorize.Net 그리고 페이플로우 프로.아래에 제공하는 링크에는 다른 공급업체에 대한 추가 정보가 있습니다.

이제 뭐?우선, 트랜잭션 전송을 위해 애플리케이션이 준수해야 하는 사항에 대한 지침이 있습니다.모든 설정이 진행되는 동안 누군가 귀하의 사이트나 애플리케이션을 살펴보고 SSL 사용과 같은 지침을 준수하고 있는지, 사용자가 제공하는 정보가 사용되는 용도에 대한 이용 약관 및 정책 문서가 있는지 확인합니다. 을 위한.다른 사이트에서 훔치지 마세요.스스로 생각하고, 필요하다면 변호사를 고용하세요.이러한 것 중 대부분은 Michael이 질문에 제공한 PCI 데이터 보안 링크에 속합니다.

신용 카드 번호를 저장할 계획이라면 정보를 보호하기 위해 내부적으로 몇 가지 보안 조치를 마련하는 것이 좋습니다.정보가 저장된 서버는 액세스 권한이 필요한 회원만 액세스할 수 있는지 확인하세요.다른 좋은 보안과 마찬가지로 여러 계층으로 작업을 수행합니다.더 많은 레이어를 배치할수록 좋습니다.원하는 경우 다음과 같은 전자 열쇠 유형 보안을 사용할 수 있습니다. SecureID 또는 e토큰 서버가 있는 방을 보호하기 위해.열쇠 고리 경로를 이용할 여유가 없다면 두 가지 열쇠 방법을 사용하십시오.방에 접근할 수 있는 사람이 이미 가지고 있는 열쇠와 함께 열쇠에 서명할 수 있도록 허용합니다.방에 들어가려면 두 개의 열쇠가 모두 필요합니다.다음으로 정책을 사용하여 서버와의 통신을 보호합니다.내 정책은 네트워크를 통해 통신하는 유일한 것은 응용 프로그램이며 해당 정보는 암호화된다는 것입니다.다른 형태로는 서버에 액세스할 수 없어야 합니다.백업을 위해 나는 트루크립트 백업이 저장될 볼륨을 암호화합니다.데이터가 제거되거나 다른 곳에 저장될 때마다 다시 truecrypt를 사용하여 데이터가 있는 볼륨을 암호화합니다.기본적으로 데이터가 어디에 있든 암호화되어야 합니다.데이터를 얻기 위한 모든 프로세스에 감사 추적이 포함되어 있는지 확인하세요.서버실에 접근하려면 로그를 사용하고, 가능하다면 카메라를 사용하세요.또 다른 방법은 데이터베이스의 신용카드 정보를 암호화하는 것입니다.이렇게 하면 정보를 볼 수 있는 사람을 강제할 수 있는 애플리케이션에서만 데이터를 볼 수 있습니다.

나는 사용한다 pfsense 내 방화벽을 위해.컴팩트 플래시 카드로 실행하고 두 개의 서버를 설정했습니다.하나는 중복성을 위한 장애 조치용입니다.

나는 이것을 찾았다 블로그 게시물 전자 상거래와 웹 애플리케이션을 통해 신용 카드를 받는 데 필요한 사항을 이해하는 데 엄청난 도움을 준 Rick Strahl의 글입니다.

글쎄, 이것은 긴 대답으로 판명되었습니다.이 팁이 도움이 되기를 바랍니다.

다른 팁

다음 질문을 스스로에게 물어보세요. 애초에 신용카드 번호를 저장하려는 이유가 무엇인가요??그렇지 않을 가능성이 있습니다.사실, 만약 당신이 하다 그것들을 보관하고 하나를 도난당한다면 심각한 책임이 있을 수 있습니다.

나는 신용 카드 번호를 저장하는 앱을 작성했습니다(거래가 오프라인으로 처리되었기 때문에).이를 수행하는 좋은 방법은 다음과 같습니다.

  • SSL 인증서를 받으세요!
  • 사용자로부터 CC#을 가져오는 양식을 만듭니다.
  • CC#의 일부(전부는 아님!)를 암호화하여 데이터베이스에 저장합니다.(가운데 8자리를 추천합니다.) 강력한 암호화 방법과 비밀 키를 사용하세요.
  • CC#의 나머지 부분을 처리할 사람의 ID와 함께 거래를 처리하는 사람(아마 본인)에게 우편으로 보내세요.
  • 나중에 로그인할 때 ID와 CC#의 메일로 발송된 부분을 입력하게 됩니다.귀하의 시스템은 다른 부분을 해독하고 재결합하여 전체 번호를 얻을 수 있으므로 거래를 처리할 수 있습니다.
  • 마지막으로 온라인 기록을 삭제합니다.편집증적인 해결책은 삭제하기 전에 레코드를 임의의 데이터로 덮어써서 삭제 취소 가능성을 제거하는 것이었습니다.

이것은 많은 작업처럼 들리지만 완전한 CC#을 어디에도 기록하지 않으면 해커가 웹 서버에서 가치 있는 것을 찾는 것이 매우 어렵습니다.저를 믿으세요. 마음의 평화를 누릴 가치가 있습니다.

PCI 1.2 문서가 방금 나왔습니다.요구 사항과 함께 PCI 규정 준수를 구현하는 방법에 대한 프로세스를 제공합니다.여기에서 전체 문서를 찾을 수 있습니다.

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

간단히 말해서, CC 정보를 저장하는 데 전담할 서버(일반적으로 DB 서버)에 대해 별도의 네트워크 세그먼트를 만듭니다.데이터를 최대한 격리하고 데이터에 액세스하는 데 필요한 최소한의 액세스만 존재하는지 확인하세요.저장할 때 암호화하세요.PAN을 저장하지 마십시오.오래된 데이터를 삭제하고 암호화 키를 순환하세요.

예를 들어 하지 말아야 할 것:

  • 데이터베이스의 일반 정보를 조회할 수 있는 동일한 계정이 CC 정보를 조회하도록 허용하지 마세요.
  • CC 데이터베이스를 웹 서버와 동일한 물리적 서버에 보관하지 마십시오.
  • CC 데이터베이스 네트워크 세그먼트로의 외부(인터넷) 트래픽을 허용하지 마십시오.

예를 들면:

  • CC 정보를 쿼리하려면 별도의 데이터베이스 계정을 사용하세요.
  • 방화벽/액세스 목록을 통해 CC 데이터베이스 서버에 대한 필수 트래픽을 제외한 모든 트래픽을 허용하지 않습니다.
  • CC 서버에 대한 액세스를 제한된 승인된 사용자 집합으로 제한합니다.

당신이 생각해 볼 수 있는 비기술적인 설명을 추가하고 싶습니다.

내 고객 중 몇몇은 전자상거래 사이트를 운영하고 있으며 그중에는 중간 규모의 매장을 운영하는 고객도 있습니다.두 가지 모두 결제 게이트웨이를 구현할 수도 있지만 선택하지 않고 참조 번호를 가져와 임시로 온라인에 암호화하여 저장하고 수동으로 처리합니다.

사기 발생률이 높기 때문에 이를 수행하며 수동 처리를 통해 주문을 작성하기 전에 추가 확인을 수행할 수 있습니다.나는 그들이 모든 거래의 20%가 조금 넘는 것을 거부했다고 들었습니다. 수동으로 처리하는 데 확실히 시간이 더 걸리고 어떤 경우에는 거래만 처리하는 직원이 있지만 그의 급여를 지불하는 비용은 확실히 다른 직원보다 적습니다. 온라인 게이트웨이를 통해 CC 번호를 전달한 경우 노출될 수 있습니다.

두 클라이언트 모두 재판매 가치가 있는 실제 상품을 제공하므로 특히 노출되며, 사기 판매로 인해 실제 손실이 발생하지 않는 소프트웨어와 같은 항목의 경우 마일리지가 달라질 수 있지만 온라인 게이트웨이의 기술적 측면보다 먼저 고려해 볼 가치가 있습니다. 그러한 구현이 정말로 당신이 원하는 것이라면.

편집하다:그리고 이 답변을 작성한 이후로 경고적인 이야기를 추가하고 이것이 좋은 생각이었던 시대는 지났다고 말하고 싶습니다.

왜?비슷한 접근 방식을 취한 또 다른 연락처를 알고 있기 때문입니다.카드 정보는 암호화되어 저장되었으며, 해당 웹사이트는 SSL을 통해 접속되었으며, 번호는 처리 후 즉시 삭제되었습니다.안전하다고 생각하시나요?

아니요. 네트워크의 한 컴퓨터가 키 로깅 트로이 목마에 감염되었습니다.그 결과 그들은 여러 점수 신용카드 위조의 출처로 확인되었으며 결과적으로 큰 벌금이 부과되었습니다.

그 결과 나는 지금 절대 누구에게나 신용 카드를 스스로 처리하도록 조언하십시오.그 이후로 결제 대행사는 훨씬 더 경쟁력 있고 비용 효율적이게 되었으며 사기 대책도 개선되었습니다.이제 더 이상 위험을 감수할 가치가 없습니다.

이 답변을 삭제할 수 있지만 경고 이야기로 편집된 상태로 두는 것이 가장 좋다고 생각합니다.

SSL을 사용하여 브라우저에서 서버로 카드 번호를 보내는 것은 레스토랑 계산원에게 카드를 건네줄 때 엄지손가락으로 신용 카드 번호를 가리는 것과 같습니다.엄지손가락(SSL)은 레스토랑(넷)에 있는 다른 고객이 카드를 볼 수 없도록 방지하지만 일단 카드가 계산원(웹 서버)의 손에 들어가면 카드는 더 이상 SSL 교환에 의해 보호되지 않으며 계산원은 그 카드로 무엇이든 할 수 있을 것 같아요.저장된 카드번호에 대한 접근은 웹 서버의 보안에 의해서만 차단될 수 있습니다.즉, 인터넷상의 대부분의 카드 도난은 전송 중에 발생하는 것이 아니라 취약한 서버 보안을 뚫고 데이터베이스를 훔치는 방식으로 발생합니다.

왜 PCI 준수에 신경을 쓰나요??기껏해야 처리 비용을 1%도 안 되는 수준으로 절감할 수 있습니다.이는 개발 초기와 시간이 지남에 따라 최신 요구 사항을 따라잡는 데 시간을 투자하여 이것이 무엇인지 확신해야 하는 경우 중 하나입니다.

우리의 경우 구독이 가능한 게이트웨이를 사용하고 이를 판매자 계정과 연결하는 것이 가장 합리적이었습니다.구독이 가능한 게이트웨이를 사용하면 모든 PCI 규정 준수를 건너뛰고 거래를 적절하게 처리하는 것 외에는 아무 것도 할 수 없습니다.

우리는 TrustCommerce를 게이트웨이로 사용하고 있으며 해당 서비스/가격에 만족합니다.그들은 통합을 매우 쉽게 만드는 여러 언어에 대한 코드를 가지고 있습니다.

PCI에 필요한 추가 작업과 예산을 잘 파악하세요.PCI에는 막대한 외부 감사 비용과 내부 노력/지원이 필요할 수 있습니다.또한 귀하에게 일방적으로 부과될 수 있는 벌금/벌금이 종종 '범죄'의 규모에 비해 엄청나게 불균형하다는 점에 유의하십시오.

전체 과정에는 많은 것이 있습니다.가장 쉬운 방법은 페이팔과 유사한 서비스를 사용하여 실제로 신용 카드 데이터를 처리하지 않는 것입니다.그 외에도 웹사이트에서 신용카드 서비스를 제공하기 위한 승인을 받으려면 거쳐야 할 과정이 상당히 많습니다.프로세스 설정에 도움을 받으려면 은행 및 판매자 ID를 발급하는 사람들과 상담해야 합니다.

다른 사람들이 언급했듯이 이 영역으로 들어가는 가장 쉬운 방법은 다음을 사용하는 것입니다. 페이팔, 구글 체크아웃 또는 노첵.그러나 상당한 규모의 사업을 계획하고 있다면 다음과 같은 더 높은 수준의 사이트 통합 서비스로 "업그레이드"하는 것이 좋습니다. 월드페이, NetBanx(영국) 또는 넷텔러(미국).이러한 모든 서비스는 설정이 비교적 쉽습니다.그리고 저는 Netbanx가 다음과 같은 일부 기성 장바구니 솔루션과의 편리한 통합을 제공한다는 것을 알고 있습니다. 인터샵 (내가 그 중 일부를 썼기 때문입니다).그 외에도 은행 시스템(및 해당 APAX 시스템)과의 직접적인 통합을 고려하고 있지만 이는 어렵고 그 시점에서는 신용 카드 번호를 안전하게 처리하고 있음을 신용 카드 회사에 증명해야 합니다(아마도 고려할 가치가 없는 경우). 한 달에 100만원 상당의 돈을 받지 않습니다.)

처음부터 끝까지 작업하면 초기 옵션이 훨씬 쉽게(빠르게/저렴하게) 설정할 수 있어 각 거래에 대해 상당히 높은 처리 비용을 지불하게 된다는 점에서 비용/이점이 있습니다.후자는 설정하는 데 훨씬 더 많은 비용이 들지만 장기적으로는 더 적은 비용을 지불하게 됩니다.

대부분의 비전용 솔루션의 또 다른 장점은 암호화된 신용 카드 번호를 안전하게 유지할 필요가 없다는 것입니다.그것은 다른 사람의 문제입니다 :-)

라이센스 : CC-BY-SA ~와 함께 속성
제휴하지 않습니다 StackOverflow
scroll top