MySQLデータベースにクレジットカード情報を保存しますか？

上記のように、クレジットカード情報をデータベースに保存しないでください。それはトラブルのレシピです。そうすることで、ハッカーにとって非常に魅力的な標的になり、ハッカーがそれらを取得することに成功した場合、ビジネスを終了し、クレジットカード番号が盗まれた人の命だけでなくあなたの命をも損なう可能性があります。

とはいえ、次の3つの考慮事項があります。

1）最善の策は、定期的な請求を提供する支払いプロセッサ/支払いゲートウェイを使用することです。この例は Authorize.Netの自動定期請求 サービスです。サブスクリプションを設定すると、毎月自動的に自動的にユーザーに請求され、取引の結果が通知されます。それはあなたに多くの仕事を節約し、クレジットカード情報を保存する責任からあなたを解放します。

2）店舗のクレジットカード番号を保存する場合は、 PCIガイドライン に従う必要があります。これらのガイドラインは、支払いカード業界によって設定されており、できることとできないことを定義しています。また、クレジットカード情報の保存方法も定義します。クレジットカード番号を暗号化する必要がありますが、必須ではありませんが、関連情報（有効期限など）を暗号化します。また、Webサーバーとネットワークが安全であることを確認する必要があります。 PCIコンプライアンスを満たさないと、マーチャントアカウントを失い、真のマーチャントアカウントを永久に持つことが禁止されます。そのため、柔軟性の低いサードパーティのプロセッサを使用することに制限されます。 PCIガイドラインは良い出発点ですが、オンラインセキュリティに関しては「ハウツー」ではないことに注意してください。あなたの目標は、推奨事項を（かなり）上回ることです。

3）州および国固有の法律はPCIコンプライアンスに優先します。侵害を受けてクレジットカード番号が盗まれた場合、刑事訴追のリスクがあります。法律は州によって異なり、議員はこれがいかに重大な問題であるかを認識し始めたばかりであるため、常に流動的です。

暗号化に関しては、どの暗号化アルゴリズムが安全で、まだ壊れていないかを必ず確認してください。 Blowfish は良いスタートであり、PHPを使用する場合は mcryptライブラリ が推奨されます（ example ）。