在线信用卡存储？

Question

Closed. This question does not meet Stack Overflow guidelines. It is not currently accepting answers.

---

这个问题似乎与帮助中心中定义的范围内的编程无关。

9 年前已关闭。

Answer 1

这违反了 PCI DSS。您不仅存储了不应该存储的信息（CVV），而且没有加密信用卡号（也是一种违规行为）。

更糟糕的是，他违反了 Visa 和 MasterCard 准则，其中规定所有在线交易必须使用符合 ECI 的设备或软件进行处理，并且互联网订单必须有单独的商家帐户。他们的信用卡终端绝对不符合 ECI 标准，因为没有一个终端符合 ECI 标准。他们需要获得一个新的商家帐户并使用 Authorize.Net 等支付网关来处理这些订单。

编辑

由于我怀疑网站所有者实际上会费心去获取新的商家帐户或实施支付网关，因此您最好的选择是使用双向加密来存储此信息。然后确保他们用于检索信用卡信息的页面已加密（SSL 证书），以便信息从端到端都是安全的。

我强烈建议您建立一个互联网商家帐户并使用 Authorize.Net 等支付网关。除了符合 PCI 和 ECI 标准以及明智的做法之外，企业不仅失去其商家帐户，而且被列入黑名单并被禁止再次拥有真正的商家帐户的可能性非常高。他们的商家帐户提供商只需要一次退款即可意识到他们在做什么，并开始出现麻烦。

Answer 2

这是严重违反 PCI 规则的行为。您可以在此处获取文档： https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
明智的做法是使用 Google Checkout 或类似的第三方服务。成为 PCI 合规性是一个很头疼的问题，涉及年度审查（可能是自我评估），其中可以包括渗透测试等。如果你真的检查过，他可能根本不需要访问信用卡信息，只需要访问信用卡信息。交易ID。您不仅需要加密数据，还必须有一个精心设计的方案来保护加密密钥。这比小企业想要进入的领域要大得多。上面的一些建议听起来不错，但并不符合 PCI 规范。阅读这些文档，您很快就会发现这是一项艰巨的任务。我目前支持内部 PCI 兼容系统，并且必须花费大量精力才能使其符合标准。我们还必须对网络进行一些更改。对于企业来说，转向第三方会更便宜。

Answer 3

有许多第三方支付提供商可以为您处理所有安全和合规问题。

对于任何中小型企业来说，这是一项绝对应该外包给具有专业知识的人员的职能。

Answer 4

使用第 3 方信用卡处理网关无需在客户端服务器上存储信用信息 - POST 的抄送信息将传递到处理网关，处理网关返回可用于客户端保存记录的交易 ID。

信用卡支付网关由 Authorize.net、LinkPoint Central 等公司提供 - 甚至 PayPal 也参与其中。所有主要网关都有用于将购物车与大多数流行的 Web 编程平台（.NET、PHP、Java 等）集成的现有代码。另外，大多数主要购物车都支持开箱即用的主要网关，或者至少具有适用于大多数网关的可安装模块。

因此，您的客户应该设置互联网支付网关，并且您应该将他们现有的代码与网关集成。

Answer 5

正确保护支付数据是一个复杂的话题。即使是非常大的公司，有时也会有大量信用卡从其系统中被盗的情况。

至少需要考虑以下步骤：

• 确保在线订单使用 HTTPS 捕获数据。
• 如果数据库和 Web 服务器是不同的机器，请确保它们之间的安全路径。
• 加密数据库中的支付数据。 MySQL 参考。
• 确保对后端网页的强访问控制（外界是否可以物理访问？是否需要强密码？是否是 HTTPS？）
• 确保没有最终写入支付信息的日志（例如调试日志）到文件系统。

Answer 6

这绝对违反了 PCI 规则。然而，向存储的数据添加加密应该不难，特别是在人们很少需要查看它的情况下。

我曾在第三方信用卡交易处理公司工作过，如果他们的系统那么糟糕，我强烈推荐它。但是，您仍然需要加密该信息，或者在将其发送到 TPP 后根本不存储它。 TPP 确实适合商家，因此他们可以帮助您解决任何合规问题，并帮助您获得最佳兑换率。