Procesory płatności-co muszę wiedzieć, jeśli chcę akceptować karty kredytowe na mojej stronie internetowej? [zamknięte]

Zadaj sobie następujące pytanie: Dlaczego chcesz przechowywać numery kart kredytowych w pierwszej kolejności ? W rzeczywistości, jeśli je przechowasz i uda Ci się je ukraść, możesz liczyć na poważną odpowiedzialność.

Napisałem aplikację, która przechowuje numery kart kredytowych (ponieważ transakcje były przetwarzane w trybie offline). Oto dobry sposób na to:

• Zdobądź certyfikat SSL!
• Utwórz formularz, aby uzyskać CC# z użytkownik.
• Encrypt part (not all!) CC# i przechowywać go w bazie danych. (Sugerowałbym środkowe 8 cyfr.) Używać silnej metody szyfrowania i tajnego klucza.
• Wyślij pozostałą część CC# do tego, kto przetwarza Twoje transakcje (prawdopodobnie do Ciebie) z identyfikatorem osoby do przetworzenia.
• gdy zalogujesz się później, wpisz ID i wysłaną pocztą część CC#. Twój system może odszyfrować drugą część i rekombinować, aby uzyskać pełną liczbę, dzięki czemu możesz przetworzyć transakcję.
• na koniec usuń zapis online. Moim paranoicznym rozwiązaniem było nadpisanie rekordu losowymi danymi przed usunięciem, aby usunąć możliwość cofnięcia.

Brzmi to jak dużo pracy, ale nigdy nie nagrywając kompletnego CC # gdziekolwiek, sprawiasz, że hakerowi bardzo trudno jest znaleźć coś wartościowego na twoim serwerze. Zaufaj mi, to jest warte spokoju ducha.

Właśnie wyszedł dokument PCI 1.2. Daje proces wdrażania zgodności PCI wraz z wymaganiami. Pełny dokument można znaleźć tutaj:

Https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

W skrócie, Utwórz oddzielny segment sieci dla serwerów, które będą dedykowane do przechowywania informacji CC (Zwykle serwerów DB)). Odizoluj dane w jak największym stopniu i zapewnij tylko minimalny dostęp niezbędny do uzyskania dostępu do danych jest obecny. Zaszyfruj go podczas przechowywania. Nigdy nie przechowuj PAN ' s. Wyczyść stare dane i obróć swoje klucze szyfrowania.

Przykład:

• nie pozwól, aby to samo konto, które może wyszukać ogólne informacje w bazie danych, wyszukało informacje o CC.
• nie przechowuj bazy danych CC na tym samym serwerze fizycznym, co serwer WWW.
• nie zezwalaj na zewnętrzny (internetowy) ruch do segmentu sieci baz danych CC.

Przykład Dos:

• użyj oddzielnej bazy danych konto do zapytania CC info.
• nie Zezwalaj na cały, ale wymagany ruch na serwerze baz danych CC przez firewall / access-lists
• Ogranicz dostęp do serwera CC do ograniczonej grupy autoryzowanych użytkowników.

Chciałbym dodać komentarz nietechniczny, o którym warto pomyśleć

Kilku moich klientów prowadzi witryny e-commerce, w tym kilku, którzy mają umiarkowanie duże sklepy. Oba z nich, choć z pewnością mogą wdrożyć bramę płatności wybrać nie zbyt, biorą numer cc, przechowywać go tymczasowo zaszyfrowany online i przetwarzać go ręcznie.

Robią to ze względu na dużą częstość oszustw i ręczne przetwarzanie pozwala im na podjęcie dodatkowych kontroli przed wypełnienie zamówienia. Powiedziano mi, że odrzucają nieco ponad 20% wszystkich swoich transakcji-ręczne przetwarzanie z pewnością zajmuje dodatkowy czas, a w jednym przypadku mają pracownika, który nie robi nic, ale przetwarza transakcje, ale koszt płacenia jego wynagrodzenia jest najwyraźniej mniejszy niż ich ekspozycja, jeśli właśnie przeszli numery cc przez bramę online.

Obaj ci klienci dostarczają towary fizyczne o wartości odsprzedaży, więc są szczególnie narażeni i dla przedmiotów takich jak oprogramowanie, gdzie oszukańcza sprzedaż nie spowodowałaby żadnej rzeczywistej straty, której przebieg byłby różny, ale warto rozważyć ponad techniczne aspekty bramki online, jeśli wdrożenie takiej jest naprawdę tym, czego chcesz.

EDIT: a od stworzenia tej odpowiedzi chciałbym dodać przestrogę i powiedzieć, że czas minął, kiedy to był dobry pomysł.

Dlaczego? Bo wiem o innym kontakcie, który przyjmował podobne podejście. Dane karty były przechowywane zaszyfrowane, dostęp do strony internetowej był SSL, a numery zostały usunięte natychmiast po przetworzeniu. Bezpieczne myślisz?

Żadna maszyna w ich sieci nie została zainfekowana przez trojana rejestrującego klucze. W rezultacie zostały one zidentyfikowane jako źródło dla kilku score fałszerstw kart kredytowych-i w konsekwencji zostały dotknięte dużą grzywną.

W wyniku tego ja teraz nigdy nie radzę nikomu obsługiwać kart kredytowych samodzielnie. Bramki płatnicze stały się od tego czasu znacznie bardziej konkurencyjne i opłacalne, a oszustwa Środki się poprawiły. Ryzyko nie jest już tego warte.

Mógłbym usunąć tę odpowiedź, ale myślę, że najlepiej zostawić edytowane jako przestrogę.

Należy pamiętać, że użycie SSL do wysłania numeru karty z przeglądarki na serwer jest jak zakrycie numeru karty kredytowej kciukiem, gdy podajesz kartę kasjerowi w restauracji: twój kciuk (SSL) uniemożliwia innym klientom w restauracji (sieci) zobaczenie karty, ale gdy karta znajduje się w rękach kasjera (serwera www), karta nie jest już chroniona przez wymianę SSL, a kasjer może robić wszystko z tą kartą. Dostęp do zapisanego numeru karty może być zatrzymane tylko przez zabezpieczenia na serwerze WWW. Czyli większość kradzieży kart w sieci nie odbywa się podczas transmisji, odbywa się przez przełamanie słabego bezpieczeństwa serwera i kradzież baz danych.

Po co zawracać sobie głowę zgodnością z PCI?? W najlepszym razie zaoszczędzisz ułamek procenta z opłat Manipulacyjnych. Jest to jeden z tych przypadków, w których musisz mieć pewność, że to jest to, co chcesz robić z czasem zarówno z góry w rozwoju, jak iw czasie, nadążając za najnowszymi wymaganiami.

W naszym przypadku najbardziej sensowne było użycie bramy subskrypcyjnej savy gateway i sparowanie jej z kontem handlowca. Subskrypcja-savy gateway pozwala pominąć całą zgodność z PCI i zrobić nic więcej niż przetworzyć transakcję prawidłowo.

Używamy TrustCommerce jako naszej bramy i jesteśmy zadowoleni z ich usług/cen. Mają kod dla wielu języków, który ułatwia integrację.

Upewnij się, że masz kontrolę nad dodatkową pracą i budżetem wymaganym dla PCI. PCI może wymagać ogromnych zewnętrznych opłat za audyt i wewnętrznego wysiłku/wsparcia. Należy również pamiętać o grzywnach / karach, które mogą być jednostronnie nakładane na ciebie, często ogromnie nieproporcjonalne do skali "ofense".

Jest wiele w całym procesie. Najprostszym sposobem na to jest korzystanie z usług podobnych do paypal, dzięki czemu nigdy nie obsługujesz żadnych danych kart kredytowych. Poza tym, jest sporo rzeczy do przejścia, aby uzyskać zatwierdzenie do oferowania usług kart kredytowych na swojej stronie internetowej. Prawdopodobnie powinieneś porozmawiać ze swoim bankiem i osobami, które wydają Twój identyfikator sprzedawcy, aby pomóc ci w skonfigurowaniu procesu.

Jak już inni wspomnieli, najprostszym sposobem na wejście do tego obszaru jest użycie Paypal, Google checkout lub Nochex . Jednak jeśli zamierzasz korzystać z dużej ilości firm, możesz poszukać "aktualizacji" do usług integracji witryn wyższego poziomu, takich jak WorldPay, NetBanx (UK) lub Neteller (US). Wszystkie te usługi są dość łatwe do skonfigurowania. I Wiem, że Netbanx oferuje wygodną integrację z niektórymi z rozwiązania do wózków sklepowych typu Intershop (bo kilka z nich napisałem). Poza tym patrzysz na bezpośrednią integrację z systemami bankowymi (i ich systemami APAX), ale to trudne i w tym momencie musisz również udowodnić firmom obsługującym Karty kredytowe, że bezpiecznie obsługujesz numery kart kredytowych (prawdopodobnie nie warto rozważyć, jeśli nie bierzesz $100k wartości miesięcznie).

Praca od 1 do ostatniego koszty / korzyści są to, że wczesne opcje są znacznie łatwiej (szybciej/taniej) skonfigurować put płacisz dość wysokie opłaty manipulacyjne dla każdej transakcji. późniejsze są znacznie droższe w konfiguracji, ale płacisz mniej na dłuższą metę.

Inną zaletą większości niestandardowych rozwiązań jest to, że nie trzeba zabezpieczać zaszyfrowanych numerów kart kredytowych. To jest czyjś problem: -)