Salvando informações do cartão de crédito no banco de dados MySQL?[fechado]

Question

.

fechado . Esta questão precisa ser mais focado . Atualmente não está aceitando respostas.

---

Quer melhorar esta questão? Atualize a pergunta para que se concentre em um problema apenas por editando este post .

fechado 5 anos atrás .

Melhore esta questão

Eu quero permitir que meus usuários do cliente digissem suas informações de cartão de crédito para que eu possa carregá-las todos os meses.

Eu me pergunto como se deve salvar esta informação?

Seja salvo no banco de dados MySQL ("User" Table) ou é esse tipo de informação muito sensível e precisa ser armazenado em outro local?

Eu não tenho experiência nisso e ficaria feliz se alguém pudesse me acessar como conseguir isso.

obrigado.

Answer 1

Como mencionado acima, não armazene informações de cartão de crédito em um banco de dados. É uma receita para problemas. Isso fará com que você faça um alvo muito atraente para hackers e, se for bem sucedido em recuperá-los, acabar com o seu negócio e potencialmente arruinar sua vida, bem como as vidas daqueles cujos números de cartão de crédito são roubados.

Dito isto, aqui estão três coisas a considerar:

1) Sua melhor aposta é usar um processador de pagamento / gateway de pagamento que ofereça faturamento recorrente. Um exemplo disso é Autorizar o faturamento recorrente automatizado Depois de configurar a assinatura, elas cobrarão automaticamente o usuário todos os meses para você automaticamente e informará os resultados da transação. Ele economiza uma tonelada de trabalho e alivia você da responsabilidade de armazenar informações do cartão de crédito.

2) Se você fizer lojas números de cartão de crédito, você deve seguir diretrizes PCI . Essas diretrizes são definidas pela indústria de cartões de pagamento e definem o que você pode e não pode fazer. Também define como as informações do cartão de crédito devem ser armazenadas. Você precisará criptografar os números de cartão de crédito e deverá, mas não é necessário, criptografar informações relacionadas (data de validade, etc). Você também será necessário para garantir que seu servidor e rede sejam seguros. Não conseguir atender a conformidade do PCI resultará em perder sua conta de comerciante e ser banida de ter uma verdadeira conta de comerciante para sempre. Isso limitaria você a usar processadores de terceiros que são menos flexíveis. Tenha em mente que as diretrizes do PCI são um bom começo, mas dificilmente um "como" quando se trata de segurança online. Seu objetivo seria exceder a recomendação (por muito).

3) Leis específicas do Estado e do país superam a conformidade do PCI. Se você sofrer um número de violação e cartão de crédito é roubado, você arrisca a acusação criminal. As leis variam de estado para o estado e estão constantemente no fluxo como os legisladores só estão apenas começando a perceber o quão sério isso é problema.

No que diz respeito à criptografia, leia sobre quais algoritmos de criptografia estão seguros e ainda não foram quebrados. blowfish é um bom começo e se você usar o PHP, o HTTP McRypt Library é recomendado ( Exemplo ).

Answer 2

A maneira mais segura é não armazenar as informações do cartão de crédito em seu sistema, mas deixar um provedor de pagamento de 3 ^{rd festejar paravocê.}

Answer 3

Não é necessário que você use um provedor de pagamento de terceiros como PayPal, etc. - mas você precisa ser PCI compatível Se você estiver indo para armazenar informações de cartão de pagamento.Leia este artigo sobre BC Ferries, que enfrentam multas substanciais por não se manter atualizado com a conformidade do PCI Para entender o quão sério é ser compatível com PCI.

Meu empregador atual está passando pela conformidade do PCI - não é um processo trivial, e requer pessoal para auditoria.A execução depende da leis do país e do Estado / Província - o Canadá IIRC exige que você seja certificado por PCI por um comitê empregado PCI, enquanto alguns estados nos EUA permitem que as empresas de auditoria de conformidade com PCI servem no lugar do Comitê PCI.