This question谈论不同的支付处理器及其成本,但我正在寻找如果我想接受信用卡支付需要做什么的答案?
假设我需要为客户存储信用卡号码,因此无法使用依赖信用卡处理器进行繁重工作的明显解决方案 .
PCI Data Security,显然是存储信用卡信息的标准,有一堆一般要求,但how does one implement them?
那些有自己最佳实践的供应商,比如Visa呢?
我是否需要使用密钥卡访问机器?如何在物理上保护它免受建筑物中的黑客攻击?或者甚至如果有人拿着sql server数据文件的备份文件呢?
备份怎么样?是否有其他物理副本的数据?
提示:If you get a merchant account, you should negotiate that they charge you "interchange-plus" instead of tiered pricing.通过分层定价,他们会根据使用的Visa / MC类型向您收取不同的费率 - 即 . 他们会向你收取额外费用大额奖励的卡 . Interchange plus billing意味着您只需向处理器支付Visa / MC收取的费用,外加固定费用 . (美国证券交易所和发现公司直接向商家收取自己的费率,因此这不会发现Amex费率在3%范围内,而发现可能低至1%.Visa / MC处于2%的范围内) . This service is supposed to do the negotiation for you(我没有't used it, this is not an ad, and I'与该网站没有关系,但非常需要这项服务 . )
这篇博客文章给出了一个complete rundown of handling credit cards(专门针对英国) .
也许我说错了这个问题,但我正在寻找这样的提示:
9 回答
我很久以前就和我工作过的公司一起经历了这个过程,我计划很快再次与自己的公司合作 . 如果你有一些网络技术知识,那真的不是那么糟糕 . 否则,您最好使用Paypal或其他类型的服务 .
该过程首先获得 merchant account 设置并绑定到您的银行帐户 . 您可能需要咨询您的银行,因为许多主要银行都提供商家服务 . 您或许可以获得优惠,因为您已经是他们的客户,但如果没有,那么您可以到处购物 . 如果您打算接受Discover或American Express,那么这些将是独立的,因为他们为他们的卡提供商家服务,没有解决这个问题 . 还有其他特殊情况 . 这是一个申请过程,做好准备 .
接下来,您将需要购买 SSL certificate ,以便在通过公共网络传输信用卡信息时保护您的通信安全 . 有很多供应商,但我的经验法则是在某种程度上选择一个品牌名称 . 他们知道的越好,客户可能听到的就越好 .
接下来,您需要找到与您的网站一起使用的 payment gateway . 虽然这可以是可选的,取决于你有多大,但大部分时间都不会 . 你需要一个 . 支付网关供应商提供了与您将与之通信的Internet Gateway API进行通信的方式 . 大多数供应商都使用其API提供HTTP或TCP / IP通信 . 他们将代表您处理信用卡信息 . 两个供应商是Authorize.Net和PayFlow Pro . 我在下面提供的链接有关于其他供应商的更多信息 .
怎么办?对于初学者,有关于您的应用程序必须遵守什么来传输交易的指导原则 . 在设置所有内容的过程中,有人会查看您的网站或应用程序,并确保您遵守指南,例如使用SSL,并且您有使用条款和政策文档,了解用户使用的信息是什么对于 . 不要从其他网站窃取此信息 . 如果你需要,请自己动手,聘请律师 . 大多数这些都属于他在问题中提供的PCI数据安全链接 .
如果您打算存储信用卡号码,那么您最好准备在内部采取一些安全措施来保护信息 . 确保存储信息的服务器只能由需要访问权限的成员访问 . 像任何好的安全性一样,你可以分层次地做事 . 你放置的层越多越好 . 如果你想要你可以使用密钥卡类型安全,如SecureID或eToken来保护服务器所在的房间 . 如果你买不起密钥卡路由,那么使用两个密钥方法 . 允许有权访问该房间的人签出一个密钥,该密钥与他们已经携带的密钥一起出现 . 他们需要两把钥匙才能进入房间 . 接下来,使用策略保护与服务器的通信 . 我的政策是通过网络与它进行通信的唯一事情是应用程序和信息加密 . 不应以任何其他形式访问服务器 . 对于备份,我使用truecrypt来加密备份将保存到的卷 . 无论何时删除数据或将数据存储在其他位置,您都可以再次使用truecrypt加密数据所在的卷 . 基本上数据在哪里,都需要加密 . 确保获取数据的所有流程都包含审计跟踪 . 使用日志访问服务器机房,如果可以,使用摄像机等...另一项措施是加密数据库中的信用卡信息 . 这样可以确保只能在您的应用程序中查看数据,您可以在其中强制执行查看信息的人员 .
我使用pfsense作为我的防火墙 . 我从一个小型闪存卡上运行它,并设置了两个服务器 . 一个是冗余故障转移 .
我发现Rick Strahl的这个blog post非常有助于理解电子商务以及通过网络应用程序接受信用卡需要什么 .
嗯,这结果是一个很长的答案 . 我希望这些提示有所帮助 .
问自己以下问题:为什么要首先存储信用卡号?你可能没有 . 事实上,如果你存储它们并设法将其中一个偷走,你可能会看到一些严重的责任 .
我写了一个存储信用卡号码的应用程序(因为交易是离线处理的) . 这是一个很好的方法:
获取SSL证书!
创建表单以从用户获取CC# .
加密CC#的部分(不是全部!)并将其存储在数据库中 . (我建议中间的8位数 . )使用强加密方法和密钥 .
将CC#的剩余部分邮寄给处理您的交易(可能是您自己)的人,并使用要处理的人员的ID .
稍后登录时,您将输入CC#的ID和邮寄部分 . 您的系统可以解密其他部分并重新组合以获取完整的数字,以便您可以处理交易 .
最后,删除在线记录 . 我的偏执解决方案是在删除之前用随机数据覆盖记录,以消除取消删除的可能性 .
这听起来像是很多工作,但是从不在任何地方记录完整的CC#,你就会让黑客很难在你的网络服务器上找到任何有 Value 的东西 . 相信我,值得安心 .
PCI 1.2文件刚刚问世 . 它提供了如何实现PCI合规性以及要求的过程 . 你可以在这里找到完整的文档:
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
简而言之,为任何专用于存储CC信息的服务器(通常是DB服务器)创建一个单独的网段 . 尽可能隔离数据,并确保仅存在访问数据所需的最小访问权限 . 存储时加密它 . 永远不要存放PAN . 清除旧数据并旋转加密密钥 .
示例不做:
不要让可以在数据库中查找常规信息的同一帐户查找CC信息 .
不要将CC数据库与Web服务器保持在同一物理服务器上 .
不允许外部(Internet)流量进入CC数据库网段 .
示例Dos:
使用单独的数据库帐户查询CC信息 .
禁止通过防火墙/访问列表向CC数据库服务器发送所有必需的流量
限制对一组有限授权用户的CC服务器访问 .
我想添加您可能想要考虑的非技术性评论
我的几个客户经营着电子商务网站,其中包括一些拥有中等规模商店的网站 . 这两个,虽然他们肯定可以实现支付网关选择不,他们采取cc号码,存储它临时加密在线并手动处理 .
他们这样做是因为欺诈的发生率很高,而人工处理允许他们在填写订单之前进行额外的检查 . 我被告知他们拒绝了超过20%的交易 - 手工处理肯定需要额外的时间,在一个案例中,他们有一个员工除了处理交易之外什么都不做,但支付他的工资的成本显然低于他们的工资 . 如果他们只是通过在线网关传递cc号码 .
这两个客户都提供具有转售 Value 的实物商品,因此特别暴露,对于像软件这样的商品,欺诈性销售不会导致实际损失,您的里程会有所不同,但值得考虑在线网关的技术方面如果实施这样的确实是你想要的 .
编辑:自从创建这个答案后,我想添加一个警示故事并说时间已经过去,这是一个好主意 .
为什么?因为我知道另一个采取类似方法的联系人 . 卡详细信息以加密方式存储,网站由SSL访问,并且数据在处理后立即删除 . 你认为安全吗?
没有 - 他们网络上的一台机器被一个密钥记录木马感染了 . 结果他们被确定为几个分数信用卡伪造的来源 - 并因此遭到巨额罚款 .
由于这个原因,我现在建议任何人自己处理信用卡 . 从那时起,支付网关变得更具竞争力和成本效益,欺诈措施也得到了改善 . 风险现在不再值得 .
我可以删除这个答案,但我认为最好留下编辑作为一个警示故事 .
请记住,使用SSL将卡号从浏览器发送到服务器就像在将卡交给餐厅的收银员时用拇指盖住信用卡号:您的拇指(SSL)会阻止餐厅中的其他客户(网)看到卡,但一旦卡在收银员(网络服务器)的手中,该卡不再受SSL交换的保护,并且收银员可以对该卡做任何事情 . 只能通过Web服务器上的安全性来停止访问保存的卡号 . 即,网络上的大多数盗窃都不是在传输过程中完成的,它们是通过突破糟糕的服务器安全性和窃取数据库来完成的 .
为什么要考虑PCI合规?充其量只能减少处理费用的一小部分 . 在这种情况下,您必须确保这是您希望在开发前期和随着时间推移以满足最新要求的时间 .
在我们的案例中,最有意义的是使用订阅 - savy网关并将其与商家帐户配对 . 订阅 - savy网关允许您跳过所有PCI合规性,并且除了正确处理事务之外什么都不做 .
我们使用TrustCommerce作为我们的网关,并对他们的服务/定价感到满意 . 他们拥有一堆语言代码,使集成变得非常简单 .
务必掌握PCI所需的额外工作和预算 . PCI可能需要巨额外部审计费用和内部工作/支持 . 还要注意可以单方面对你征收的罚款/罚款,这通常与'ofense'的规模大不相称 .
整个过程有很多 . 最简单的方法是使用类似于paypal的服务,这样你就不会真正处理任何信用卡数据 . 除此之外,还有很多东西可以通过批准在您的网站上提供信用卡服务 . 您应该与您的银行以及发布商家ID的人员联系,以帮助您设置流程 .
正如其他人所提到的,进入这一领域的最简单方法是使用Paypal,Google checkout或Nochex . 但是,如果您打算开展大量业务,您可能希望查找"upgrading"以更高级别的站点集成服务,例如WorldPay,NetBanx (UK)或Neteller (US) . 所有这些服务都相当容易设置 . 我知道Netbanx提供了方便的集成到一些现成的购物车解决方案,如Intershop(因为我写了一些) . 除此之外,您正在考虑与银行系统(及其APAX系统)直接集成,但这很难,此时您还需要向信用卡公司证明您正在安全地处理信用卡号码(可能不值得考虑,如果你不是每月花10万美元的 Value ) .
从第一个到最后一个工作的成本/收益是早期选项更容易(更快/更便宜)设置,你为每笔交易支付相当高的手续费 . 后期的设置成本要高得多,但从长远来看,你支付的费用会更少 .
大多数非专用解决方案的另一个优点是您不需要保持加密的信用卡号码安全 . 那是别人的问题:-)