クレジットカードの詳細の保存
サードパーティのマーチャントを通じて繰り返し請求するために、クレジットカード番号を保存する必要があります。
詳細の保存に関して遵守する必要がある基準はありますか?私たちは何年もクレジットカードを受け入れてきましたが、クレジットカードを使い終わるとすぐにその詳細を破棄していました。お客様は、毎月手動でサブスクリプション料金を支払う必要がないように、詳細を保存することを要求しています。
サブスクリプションを利用するためにPaypalに移動することはオプションではありません。それらを保管する必要があり、保管が安全であることを確認する必要があります!
データ用にMSSQL 2005を使用しており、すべてが既にSSLされています。
(レターに)従う必要があり、できればexceedPCI DSS 標準に従う。これは決して簡単に達成できる作業ではなく、取るに足らないものでもありません。
I強くあなたのためにこれを処理し、それを統合できるサードパーティのプロセッサを見つけることをお勧めします課金システム。 SSLを使用してデータベース内の情報を暗号化するだけではありません。また、アクセスを監視し、侵入を検出し、侵害が発生した場合に影響を受ける人々にのみ通知できるシステムを設置する必要があります(そして、どのデータが侵害された可能性があるかを判断します)。
次に、サーバー、ネットワークなどに物理的にアクセスします。これは、物理LANも保護されている所有するサーバーで共有されないロックされたキャビネットを意味します。コンプライアンスは安くも簡単でもありません。
本当に、これを第三者にオフロードするために可能な限りの努力を費やしてください。負債だけでは、毎月数十万(ここに通貨を挿入)に達するトランザクションについて話さない限り、リスクに見合うだけの価値はありません。その場合、節約する料金は、情報を保存するシステムを実装および監視するために必要な才能をもたらすことを正当化する可能性があります。あなたは必要になるでしょう:
- システムプログラマー(カーネルおよびファイルシステムレベルの監査フックが必要です)
- IDS/IPSの達人(ベンダーロックインが好きでない限り)
- 専門家が設計したシステムから生成されたアラートを監視する24時間365日のスタッフ。これらの人々は安くはありません、彼らはあなたが請求プラグを抜くか、あなたが使用するアルゴリズムのバグを報告する決定をします。
そして、そのすべてをサードパーティに非常に安価にオフロードできます。
クレジットカードの詳細を保存することは決して良い考えではありませんever。あなたは転倒に備えているだけです。まともな支払いゲートウェイなら、クレジットカードの詳細を保存する必要のないトークンを使って繰り返し取引を行うことができます。
あなたが求める多くの答えは、 Payment Card Industry Compliance Guide ウェブサイトで見つけることができます。 リンク ページは特に便利です。
最良の提案は、このストレージをサードパーティに処理させることです。
サードパーティの販売者には、継続的なクレジットカード支払いのオプションが含まれていませんか?英国の主要なもののほとんどは確かにそうです(DataCash、RBS World Payなど)。
基本的には、CCC機関へのリクエストとともにカード詳細を一度送信し(これを正しく思い出せば、予想されるスケジュールと通常の金額を含める必要があります)、トークンを受け取ります。その後、毎月/トークンでマーチャントをポーリングし、その後のトランザクションを処理します-通常、これらを可変のアドホックリクエスト用に設定する機能もあります。あなたの重要な要件は、支払いを受ける前に顧客に通知することです(通常、少なくとも10日)。
この方法では、CCの詳細をどこにも保存せず、要件をすべて満たした人がすべて処理します。
これは、カードで事前認証を行うのと似ているため、クレジットカードを保存する必要はなく、必要に応じて呼び出すことができる商人のトークンのみを保存する必要があります。
それらを保管する必要があり、保管が安全であることを確認する必要があります!
1つの質問:なぜですか?
PCIを自分で処理しなければならないので、私はそれを尋ねるだけで、それに追いつくのは苦痛です。私の日々の仕事は、PCIコンプライアンスの最低のラングと見なされていますが、まだ多くのことがあります。暗号化、最小限の特権に関する考慮事項、サーバーOSセキュリティ、内部ネットワークセキュリティ、境界セキュリティ、サードパーティの監査...そして、それは私たちがクレジットカード情報を保存していなくてもです!
(補足:eコマースを行っている場合は、CCデータを保存していない場合でもPCIに準拠する必要があります。苦情がなければ、まだ噛まなかったことを幸運だと考えてください。)
プロセッサに処理を依頼してください。私たちはAuthorize.netを使用しており、独自のカスタムフロントエンドを構築できるように素晴らしいAPIを持っていますが、実際の支払いを保存して処理します。繰り返し請求を設定したい場合、彼らは情報を保存するシステムを持っています。正直なところ、私は自分自身を信じるよりもそれらを信頼しています。
他の人々が言及したように、あなたはPCI-DSSを探しています。また、他の人々が言及したように、コンプライアンスは小規模なサイトでは法外に高価になる可能性があります。
サブスクリプションを利用するためにPaypalに移動することはオプションではありません。それらを保管する必要があり、保管が安全であることを確認する必要があります!
支払いゲートウェイで顧客のクレジットカード情報を識別するIDをローカルに保存できます。 Paypalがこのオプションを提供するかどうかはわかりませんが、他の支払いゲートウェイがあります。
また、クレジットカードデータをディスクに保存していない場合でも、PCI-DSS要件の範囲内にあることに注意してください。準拠するための最も簡単な方法は、CCデータを取得しないことです(つまり、支払いフォームを支払いゲートウェイに直接POSTすることによって)。
http://chargify.com/ のようなサービスは、既存の支払いゲートウェイの上に追加のレイヤーを提供します。クレジットカードを保存したり、定期的な支払いを実装したり、レポートを作成したりするためのあらゆる方法を提供するでしょう。
これにより、全体の責任とPCIコンプライアンスの問題を回避できます。私が懸念しているのは、いつかベンダー、商人のアカウント、またはゲートウェイを変更したい場合です。 10,000人の顧客をどのように連れて行きますか?彼らはクレジットカードのデータベースを引き渡しますか?競合他社と協力してクレジットカード情報を移動しますか?
疑わしい。プロバイダを変更した場合は、すべての顧客に請求情報の再送信を依頼する必要があります。これは、クレジットカード情報を自分で保存することを支持する1つの小さな議論です。おそらく多くの顧客と多くの収入を得ようとしている場合にのみ価値があります。私はこの特定の難問について他の人々の考えを聞いて非常に興味があります。
まだ投票したりコメントしたりするのに十分な担当者がいないので、これは新しい答えになります。 zhaphが指摘した のように、多くの商社はあなたのためにストレージを扱う定期的な支払いシステムを提供しています。
Paypalを使用したくない顧客にAuthorize.netを使用しており、かなりうまく機能しています(私たちの唯一の大きな不満は、APIキーが6か月ごとにリセットされることです。ページが機能しなくなります)。 APIはXMLベースであり、ほぼすべての言語でラッパーを見つけることができます。
自分のデータベースにクレジットカード情報を保存することに決めた場合、どんな状況でも 桁のカードセキュリティコード を保存しないでください。そうすることは、カード協会によって厳しく禁止されています。
ところで、取引を行うためにカードのセキュリティコードは必要ありません。これにより、不正検出率が向上しますが、顧客と継続的な関係がある場合は必要ありません。 (そして、あなたがそれを必要だと思ったとしても、それを保存することはできません。何があっても。)
また、情報を保存しないという他の推奨事項も次に示します。 Authorize.Netの Customer Information Manager は使いやすく、安価です。情報を自分のサーバーに保存することに固有のPCIコストを負担するよりも、使用する方がはるかに安くなります。
データベースにクレジットカードを保存する場合、暗号化が重要です。また、システムが適切に動作することを確認するために、サードパーティに定期的なコンプライアンステストを実行させる(または必要とする)こともあります。