自動支払い用のクレジットカードを保管していますか？

あなたはPCI（Payment Card Industry）コンプライアンスを参照しています： https://www.pcisecuritystandards.org/security_standards/getting_started.php

さらに、あなたのビジネスが運営している地域の法的要件。

スティーブとスティーブスが言ったように、クレジットカードを保存することはあなたのビジネスをPCI-DSSに分類することになります。適切なインフラストラクチャがすでに整っていない場合、これは非常に大きな作業になる可能性があります。ここで、頭の中で思い浮かぶことがいくつかあります。

• クレジットカード情報の送信は暗号化する必要があります。
• ネットワークとネットワーク上のすべてのサーバー/ワークステーションには、アクティブなファイアウォールとIDSが必要です。
• ワークステーションとサーバーにはアンチウイルスが必要です。
• パスワードは90日ごとに変更する必要があります。
• ネットワーク上のマシンへのアクセスを制限する必要があります。

これは、非常に長いリストの非常に短いバージョンであり、完全なバージョンが見つかります： https://www.pcisecuritystandards.org/documents/pa-dss_v2.pdf 。 PCIトレーニング もあります。これは、PCI要件をよりよく理解するのに役立ちます。 PCIコンプライアンスを専門とするコンサルタントがいます。推奨事項については、その地域の他の企業またはITセキュリティ監査会社に確認してください。幸運を祈ります。

DoReferenceTransaction APIを介して、参照トランザクションと組み合わせてホストされるPaypal Web Payments Proを使用することをお勧めします。

ウェブペイメントプロホスト型では、Paypalの支払いフォームをサイトのiframeに埋め込むことができます（「Paypalでの支払い」オプションは、リクエストに応じて無効にすることができます）。さらに、DoReferenceTransaction APIを使用すると、以前のトランザクションID（最大3か月前）を参照するだけで、任意のスケジュールでユーザーに再請求できます。
この優れた点は、PaypalトランザクションIDを除いて、個人を特定できるデータを1つ保存する必要がないことです。

https://cms.Paypal.com/us/cgi-bin/?cmd=_render-content&content_ID=developer/e_howto_api_nvp_r_DoReferenceTransaction を参照してください
と同様
https://www.x.com/developers/Paypal/products/website-payments-pro-hosted-solution

それでも（ある程度）PCIに準拠している必要がありますが、サイトに直接統合されている通常の販売アカウントの場合ほどではありません。

特に、これまでの経験がないので、誰かにそれを心配させるだけの方が賢明でしょう。

ここで独自のソリューションを導入しないことをお勧めします。この機能を実装するには、Authorize.Netなどが提供するAPIを使用します。

他のコメンターが指摘したように、クレジットカード番号を保存することは可能な限り避けるべきです。

Authorize.netを使用してクレジットカードのトランザクションを処理している場合は、 [〜＃〜] arb [〜＃〜] （自動定期請求）および [〜＃〜] cimを調査する必要があります[〜＃〜] （顧客情報管理、これらのオプションの提供により、顧客IDを介してシステムにリンクする顧客アカウントをセットアップできるため、機密の顧客データをリモートで保存し、将来のトランザクションをスケジュールすることができます。クレジットカード番号または請求先住所を保存します。

多大な労力と労力をかけずにPCIコンプライアンスを満たしながらクレジットカード情報を保存する最もコスト効率の良い方法は、AmazonのAWSサービスを使用することです。彼らは2010年にPCI要件を満たしました。

ここを見てください：

http://aws.Amazon.com/security/pci-dss-level-1-compliance-faqs/

これは、あなたのビジネスのクレジットカード情報を保存するために私が知っている最も簡単な方法です。