Платежные процессоры. Что мне нужно знать, хочу ли я принимать кредитные карты на своем веб-сайте?

Этот вопрос рассказывает о разных платежных процессорах и о том, что они стоят, но я ищу ответ на вопрос, что мне нужно сделать, если я хочу принять кредит карточные платежи?

Предположим, мне нужно хранить номера кредитных карт для клиентов, так что очевидное решение полагаться на процессор кредитных карт для тяжелого подъема не доступно.

PCI Data Security, который, по-видимому, является стандартом для хранения информации о кредитных картах, имеет кучу общих требований, но как реализовать их?

А как насчет поставщиков, таких как Visa, у которых есть свои собственные лучшие практики?

Нужно ли иметь доступ к брелоке для машины? Как насчет физической защиты от хакеров в здании? Или даже, что, если кто-то взял на себя файлы резервных копий с файлами данных SQL Server на нем?

Как насчет резервных копий? Существуют ли другие физические копии этих данных?

Совет: Если вы получаете торговую учетную запись, вам следует договориться о том, что они взимают с вас "interchange-plus" вместо многоуровневой цены. С многоуровневые цены, они будут взимать с вас разные ставки, исходя из того, какой тип Visa/MC используется, т.е. они обвиняют вас больше за карты с большими наградами, приложенными к ним. Обмен и биллинг означает, что вы платите только процессору, который взимает с них Visa/MC, плюс фиксированная плата. (Amex и Discover взимают свои собственные ставки прямо перед торговцами, поэтому это не относится к этим картам. Вы найдете ставки Amex в диапазоне 3%, а Discover - всего 1%. Visa/MC находится в диапазон 2%). Эта услуга должна вести переговоры для вас (я не использовал ее, это не объявление, и я не являюсь аффилированным лицом с веб-сайтом, но эта услуга очень необходима.)

Это сообщение в блоге дает полное описание обработки кредитных карт (специально для Великобритании).

Возможно, я сформулировал вопрос неправильно, но я ищу такие советы:

  • Используйте SecurID или eToken, чтобы добавьте дополнительный дополнительный слой в физический блок.
  • Убедитесь, что поле находится в комнате с комбинацией физической блокировки или комбинации клавиш.

ОТВЕТЫ

Ответ 1

Я прошел этот процесс не так давно с компанией, в которой работал, и я планирую снова пройти через это с моим собственным бизнесом. Если у вас есть технические знания сети, это действительно не так уж плохо. В противном случае вам будет лучше использовать Paypal или другой тип сервиса.

Процесс начинается с установки учетной записи продавца и привязки к вашему банковскому счету. Вы можете проверить свой банк, потому что многие крупные банки предоставляют коммерческие услуги. Вы можете получить сделки, потому что вы уже являетесь их клиентом, но если нет, то вы можете ходить по магазинам. Если вы планируете принимать Discover или American Express, они будут раздельными, потому что они предоставляют услуги продавца для своих карт, и не обойти это. Существуют и другие особые случаи. Это процесс подачи заявки. Будьте готовы.

Затем вы захотите приобрести сертификат SSL, который вы можете использовать для защиты ваших сообщений, когда информация о кредитной карте передается по общедоступным сетям. Есть много продавцов, но мое эмпирическое правило - выбрать именно тот бренд. Чем лучше они известны, тем лучше ваш клиент, вероятно, слышал о них.

Далее вам нужно найти платежный шлюз для использования с вашим сайтом. Хотя это может быть необязательным в зависимости от того, насколько вы велики, но в большинстве случаев этого не будет. Вам это понадобится. Поставщики платежных шлюзов предоставляют возможность поговорить с API интернет-шлюза, с которым вы будете общаться. Большинство поставщиков предоставляют HTTP или TCP/IP связь с их API. Они будут обрабатывать информацию о кредитной карте от вашего имени. Два поставщика: Authorize.Net и PayFlow Pro. Ссылка, представленная ниже, содержит дополнительную информацию о других поставщиках.

Теперь что? Для начала есть рекомендации относительно того, что ваше приложение должно придерживаться для передачи транзакций. Во время процесса настройки все кто-то будет смотреть на ваш сайт или приложение и убедиться, что вы придерживаетесь рекомендаций, например, используя SSL, и что у вас есть условия использования и политическая документация о том, какая информация, которую пользователь дает вам, используется для. Не крадите это с другого сайта. Приходите со своим, нанимайте адвоката, если вам нужно. Большинство из этих вещей подпадают под ссылку PCI Data Security, предоставленную Михаилом в его вопросе.

Если вы планируете хранить номера кредитных карт, то вам лучше быть готовыми принять меры безопасности внутри страны для защиты информации. Убедитесь, что сервер, на котором хранится информация, доступен только членам, которым необходим доступ. Как и любая хорошая безопасность, вы делаете что-то в слоях. Чем больше слоев вы положите, тем лучше. Если вы хотите, вы можете использовать защиту типа ключевого фоба, например SecureID или eToken, чтобы защитить комнату, в которой находится сервер. Если вы не можете позволить себе маршрут ключевого фоба, используйте два ключевых метода. Позвольте человеку, у которого есть доступ к комнате, выдать ключ, который идет вместе с ключом, который они уже выполняют. Для доступа в комнату им потребуются обе клавиши. Затем вы защищаете связь с сервером политиками. Моя политика заключается в том, что единственное, что связывается с ней по сети, - это приложение и эта информация зашифровывается. Сервер не должен быть доступен в любой другой форме. Для резервного копирования я использую truecrypt для шифрования томов, в которые будут сохранены резервные копии. Каждый раз, когда данные удаляются или хранятся в другом месте, вы снова используете truecrypt для шифрования тома, на котором данные находятся. В основном, где бы ни были данные, его необходимо зашифровать. Удостоверьтесь, что все процессы для получения данных передают аудиторские маршруты. использовать журналы для доступа к серверной комнате, использовать камеры, если можете, и т.д. Еще одна мера заключается в шифровании информации о кредитной карте в базе данных. Это гарантирует, что данные могут быть просмотрены только в вашем приложении, где вы можете обеспечить, кто видит информацию.

Я использую pfsense для моего брандмауэра. Я запускаю его с компактной флеш-карты и устанавливаю два сервера. Один из них - для отказа за избыточность.

Я нашел это сообщение в блогеRick Strahl, который очень помог понять, как делать электронную коммерцию и что нужно, чтобы принимать кредитные карты через веб-приложение.

Ну, это оказалось длинным ответом. Надеюсь, эти советы помогут.

Ответ 2

Задайте себе следующий вопрос: почему вы хотите хранить номера кредитных карт в первую очередь? Скорее всего, вы этого не делаете. Фактически, если вы сохраните их и сумеете украсть один, вы можете столкнуться с серьезной ответственностью.

Я написал приложение, которое хранит номера кредитных карт (поскольку транзакции были обработаны в автономном режиме). Вот хороший способ сделать это:

  • Получить сертификат SSL!
  • Создайте форму для получения CС# от пользователя.
  • Зашифруйте часть (не все!) CС# и сохраните ее в своей базе данных. (Я бы предложил средние 8 цифр.) Используйте сильный метод шифрования и секретный ключ.
  • Отправляйте оставшуюся часть CС# тому, кто обрабатывает ваши транзакции (возможно, самостоятельно) с идентификатором обрабатываемого лица.
  • При входе в систему позднее вы вводите идентификатор и отправленную часть CС#. Ваша система может расшифровать другую часть и выполнить рекомбинацию, чтобы получить полный номер, чтобы вы могли обработать транзакцию.
  • Наконец, удалите онлайн-запись. Мое параноидальное решение заключалось в том, чтобы перезаписать запись случайными данными перед удалением, чтобы удалить возможность восстановления.

Это звучит как большая работа, но, никогда не записывая полный CС# в любом месте, вы крайне затруднителю хакера найти что-то ценное на вашем веб-сервере. Поверьте мне, это стоит спокойствия.

Ответ 3

Только что вышел документ PCI 1.2. В нем дается процесс реализации требований PCI и требований. Здесь вы можете найти полный документ:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

Короче говоря, создайте отдельный сегмент сети для тех серверов, которые будут посвящены хранению информации CC (обычно это серверы БД). Изолируйте данные как можно больше и убедитесь, что присутствует только минимальный доступ, необходимый для доступа к данным. Зашифруйте его при его сохранении. Никогда не храните PAN. Очистите старые данные и поверните ключи шифрования.

Пример Не требуется:

  • Не позволяйте той же учетной записи, которая может искать общую информацию в базе данных, просматривает информацию CC.
  • Не храните свою базу данных CC на том же физическом сервере, что и ваш веб-сервер.
  • Не разрешать внешний (Интернет) трафик в сегменте сети базы данных CC.

Пример Dos:

  • Используйте отдельную учетную запись базы данных для запроса информации CC.
  • Запретить все, кроме обязательного трафика, на сервер базы данных CC через брандмауэр/списки доступа
  • Ограничить доступ к серверу CC ограниченному набору авторизованных пользователей.

Ответ 4

Я хотел бы добавить нетехнический комментарий, который вы можете подумать о

Некоторые мои клиенты запускают сайты электронной коммерции, в том числе пару, у которых есть умеренно большие магазины. Оба из них, хотя они, конечно, могут реализовать платежный шлюз, выбирают не слишком, они берут номер cc, сохраняют его временно зашифрованным в Интернете и обрабатывают его вручную.

Они делают это из-за высокой частоты мошенничества и ручной обработки, что позволяет им выполнять дополнительные проверки перед заполнением заказа. Мне сказали, что они отклоняют чуть более 20% всех своих транзакций. Обработка вручную, конечно, занимает дополнительное время, и в одном случае у них есть сотрудник, который ничего не делает, кроме транзакций процесса, но стоимость оплаты его зарплаты, по-видимому, меньше, чем их если они просто передали номера cc, хотя он-лайн шлюз.

Оба этих клиента поставляют физические товары со стоимостью перепродажи, поэтому они особенно подвержены, и для таких предметов, как программное обеспечение, где мошенническая продажа не приведет к какой-либо фактической потере вашего пробега, будет отличаться, но стоит рассмотреть выше технические аспекты онлайн-шлюз, если такая реализация действительно нужна вам.

EDIT: И после создания этого ответа я хотел бы добавить предостерегающую историю и сказать, что прошло время, когда это была хорошая идея.

Почему? Потому что я знаю другого контакта, который применял подобный подход. Данные карты были зашифрованы, к веб-сайту был подключен SSL, и номера были удалены сразу после обработки. Зачем ты думаешь?

Нет - одна машина в сети заразилась трояном регистрации ключей. В результате они были идентифицированы как источник для нескольких фальсификаций кредитных карт с рейтингом - и, следовательно, они пострадали от большого штрафа.

В результате этого я теперь никогда никому не советую обращаться с кредитными картами. Платежные шлюзы с тех пор стали намного более конкурентоспособными и экономически эффективными, а меры по мошенничеству улучшились. Теперь риск больше не стоит.

Я мог бы удалить этот ответ, но я думаю, что лучше оставить его отредактированным как предостерегающий рассказ.

Ответ 5

Имейте в виду, что использование SSL для отправки номера карты из браузера на сервер подобно закрытию номера вашей кредитной карты большим пальцем, когда вы передаете карточку кассиру в ресторане: ваш большой палец (SSL) предотвращает другие клиенты в ресторане (Сети), видя карту, но как только карта находится в руках кассира (веб-сервера), карта больше не защищена обменом SSL, и кассир может делать что-либо с этой карточкой. Доступ к номеру сохраненной карты можно остановить только с помощью безопасности на веб-сервере. То есть, большинство карточных краж в сети не выполняются во время передачи, они выполняются путем нарушения плохой защиты сервера и кражи баз данных.

Ответ 6

Зачем беспокоиться о соблюдении PCI? В лучшем случае вы будете брить часть процентов от платы за обработку. Это один из тех случаев, когда вы должны быть уверены, что это то, что вы хотите делать с вашим временем как авансом в разработке, так и с течением времени в соответствии с самыми последними требованиями.

В нашем случае было наиболее разумно использовать шлюз с подпиской, а также пару с учетной записью продавца. Шлюз, доступный для подписки, позволяет пропустить все требования PCI и делать не что иное, как обрабатывать транзакцию.

Мы используем TrustCommerce как наш шлюз и довольны их обслуживанием/ценой. У них есть код для нескольких языков, что упрощает интеграцию.

Ответ 7

Обязательно возьмите ручку дополнительной работы и бюджета, необходимых для PCI. PCI может потребовать огромные внешние аудиты и внутренние усилия/поддержку. Также помните о штрафах/штрафах, которые могут быть в одностороннем порядке взиматься с вас, часто чрезвычайно несоразмерны шкале "ofense".

Ответ 8

Там много всего процесса. Самый простой способ сделать это - использовать службы, похожие на paypal, чтобы вы никогда не обрабатывали данные кредитной карты. Кроме того, есть довольно много вещей, чтобы пройти, чтобы получить одобрение, чтобы предлагать услуги кредитной карты на вашем сайте. Вероятно, вам следует поговорить с вашим банком и людьми, которые выдают ваш идентификатор продавца, чтобы помочь вам в настройке процесса.

Ответ 9

Как говорили другие, самый простой способ в этой области - использовать Paypal, Google checkout или Nochex. Однако, если вы намереваетесь на значительный объем бизнеса, вы можете захотеть найти "модернизацию" для более высокоуровневых сервисов интеграции сайтов, таких как WorldPay, NetBanx (Великобритания) или Neteller (США). Все эти услуги достаточно просты в настройке. И я знаю, что Netbanx предлагает удобную интеграцию в некоторые из решений для корзины с полками, такие как Intershop (потому что я написал некоторые из них). Помимо этого вы смотрите на прямую интеграцию с банковскими системами (и их системами APAX), но это сложно, и в этот момент вам также необходимо доказать компаниям кредитных карт, что вы правильно обрабатываете номера кредитных карт (вероятно, не стоит учитывать, если вы не берете 100 тысяч долларов в месяц).

Работая с 1-го до последнего, затраты/выгоды заключаются в том, что ранние варианты намного проще (быстрее/дешевле), чтобы настроить, чтобы вы платили достаточно высокую плату за обработку транзакций. более поздние из них намного дороже, но вы платите меньше в долгосрочной перспективе.

Другим преимуществом большинства несекретных решений является то, что вам не нужно защищать зашифрованные номера кредитных карт. Thats кто-то еще проблема: -)