Processeurs de paiement-que dois-je savoir si je veux accepter les cartes de crédit sur mon site web? [fermé]

cette question parle des différents processeurs de paiement et de ce qu'ils coûtent, mais je cherche la réponse à ce que je dois faire si je veux accepter les paiements par carte de crédit?

suppose que j'ai besoin de stocker numéros de carte de crédit pour les clients, de sorte que la solution évidente de compter sur le processeur de carte de crédit pour faire le levage lourd n'est pas disponible.

Sécurité des Données du PCI , qui est apparemment la norme pour stocker des informations de carte de crédit, a un tas d'exigences générales, mais comment est-ce que l'on les met en œuvre ?

Et les vendeurs, comme Visa , qui ont leurs propres pratiques?

est-ce que j'ai besoin d'avoir un accès keyfob à la machine? Qu'en est-il de le protéger physiquement des pirates dans l'Immeuble? Ou même si quelqu'un a eu la main sur la sauvegarde des fichiers avec les fichiers de données du serveur sql?

et les sauvegardes? Il existe d'autres copies physiques de données?

Conseil: si vous obtenez un compte de marchand, vous devez négocier qu'ils vous facturent "interchange-plus" au lieu de prix par paliers. avec une tarification échelonnée, ils vous factureront des tarifs différents en fonction du type de Visa/MC utilisé -- c.-à-d. ils vous font payer plus pour des cartes avec de grandes récompenses attachées. La facturation Interchange plus signifie que vous ne payez que le processeur ce que Visa / MC leur facture, plus des frais fixes. (Amex et Discover facturent leurs propres tarifs directement aux commerçants, donc cela ne s'applique pas à ces cartes. Vous constaterez que les taux D'Amex sont de l'ordre de 3% et que Discover pourrait être aussi bas que 1%. Visa / MC est de l'ordre de 2%). Ce service est censé faire de la négociation pour vous (je ne l'ai pas utilisé, ce n'est pas une annonce, et je ne suis pas affilié avec le site, mais ce service est grandement nécessaire.)

cet article de blog donne un réduction complète du traitement des cartes de crédit (spécifiquement pour le Royaume-Uni).


peut-être ai-je mal formulé la question, mais je cherche des conseils comme ceux-ci:

  1. Utiliser SecurID ou eToken pour ajouter un mot de passe supplémentaire de la couche physique de la boîte.
  2. assurez-vous que la boîte est dans une pièce avec un verrouillage physique ou une combinaison de code.
255
demandé sur Community 2008-09-09 05:50:45
la source

9 ответов

je suis passé par ce processus il n'y a pas si longtemps avec une entreprise pour laquelle j'ai travaillé et j'ai l'intention de le refaire bientôt avec ma propre entreprise. Si vous avez une certaine connaissance technique du réseau, ce n'est vraiment pas si mal. Sinon, il vaut mieux utiliser Paypal ou un autre type de service.

le processus commence par l'obtention d'un compte marchand installation et liée à votre compte bancaire. Vous voudrez peut-être vérifier avec votre banque, parce que beaucoup de grandes banques fournissent des services marchands. Vous pouvez être en mesure d'obtenir des offres, parce que vous êtes déjà un de leurs clients, mais si non, alors vous pouvez magasiner. Si vous prévoyez d'accepter Discover ou American Express, ceux-ci seront séparés, parce qu'ils fournissent les services marchands pour leurs cartes, Pas de contourner cela. Il y a d'autres cas spéciaux aussi. C'est un processus de demande, être préparé.

ensuite, vous voulez acheter un Certificat SSL que vous pouvez utiliser pour sécuriser vos communications lorsque les informations de la carte de crédit est transmise sur les réseaux publics. Il ya beaucoup de vendeurs, mais ma règle d'or est de choisir celui qui est le nom d'une marque dans un sens. Mieux ils sont connus, mieux votre client en a probablement entendu parler.

Ensuite, vous voulez trouver un passerelle de paiement à utiliser avec votre site. Bien que cela peut être facultatif selon votre taille, mais la plupart du temps, il ne sera pas. Vous en aurez besoin. Les fournisseurs de passerelle de paiement offrent un moyen de communiquer avec L'API passerelle Internet avec laquelle vous communiquerez. La plupart des fournisseurs fournissent la communication HTTP ou TCP/IP avec leur API. Ils traiteront les informations de carte de crédit en votre nom. Deux vendeurs sont Authorize.Net et PayFlow Pro . Le lien que je fournis ci-dessous contient plus d'informations sur d'autres fournisseurs.

et maintenant? Pour commencer il ya des lignes directrices sur ce que votre application doit respecter pour transmettre les transactions. Pendant le processus de mise en place de tout, quelqu'un va regarder votre site ou application et s'assurer que vous respectez les directives, comme L'utilisation de SSL et que vous avez des conditions d'utilisation et de la documentation de politique sur ce que l'information que l'utilisateur vous donne est utilisé pour. Ne vole pas ça sur un autre site. Venez avec votre propre, engager un avocat si vous avez besoin. La plupart de ces choses tombent sous le lien de sécurité de données PCI Michael fourni dans sa question.

si vous prévoyez de stocker les numéros de carte de crédit, alors vous feriez mieux d'être prêt à mettre en place certaines mesures de sécurité à l'interne pour protéger l'information. Assurez-vous que le serveur sur lequel l'information est stockée n'est accessible qu'aux membres qui doivent y avoir accès. Comme toute bonne sécurité, vous faites les choses en couches. Le plus de couches que vous mettez en place le mieux. Si vous voulez, vous pouvez utiliser la sécurité de type clé fob, comme SecureID ou eToken pour protéger la salle où se trouve le serveur. Si vous n'avez pas les moyens de vous payer la route de la clé fob, utilisez la méthode des deux clés. Permettre à une personne qui a accès à la salle de signer une clé, qui va de pair avec une clé, ils portent déjà. Ils auront besoin des deux clés pour accéder à la chambre. Ensuite, vous protégez la communication vers le serveur avec les politiques. Ma politique est que la seule chose communiquer avec lui sur le réseau est l'application et cette information est cryptée. Le serveur ne doit pas être accessible sous une autre forme. Pour les sauvegardes, j'utilise truecrypt pour chiffrer les volumes, les sauvegardes seront stockées. Chaque fois que les données sont retirées ou stockées ailleurs, puis de nouveau vous utilisez truecrypt pour chiffrer le volume des données est sur. Fondamentalement, où jamais les données, il doit être chiffré. Assurez-vous que tous les processus pour obtenir les données Porte traces d'audit. utilisez les journaux pour accéder à la salle du serveur, utilisez des caméras si vous le pouvez, etc... Une autre mesure consiste à chiffrer les renseignements sur les cartes de crédit dans la base de données. Cela permet de s'assurer que les données ne peuvent être visualisées dans votre application que là où vous pouvez forcer qui voit les informations.

j'utilise pfsense pour mon pare-feu. Je l'ai lancé sur une carte flash compacte et j'ai deux serveurs installés. L'un est pour le basculement de la redondance.

I trouvé ce post de blog par Rick Strahl qui a aidé énormément à comprendre faire le commerce électronique et ce qu'il faut pour accepter les cartes de crédit par le biais d'une application web.

eh Bien, cela s'est avéré être une longue réponse. J'espère que ces conseils aider.

235
répondu Dale Ragan 2017-05-23 15:26:05
la source

Posez-vous la question suivante: pourquoi voulez-vous stocker des numéros de carte de crédit en premier lieu ? Il y a des Chances que non. En fait, si vous faire les stocker et réussir à en avoir un volé, vous pourriez être à la recherche d'une certaine responsabilité grave.

j'ai écrit une application qui ne stocke les numéros de carte de crédit (depuis les transactions ont été traitées hors ligne). Voici une bonne façon de le faire:

  • obtenez un certificat SSL!
  • créer un formulaire pour obtenir le CC# de l'utilisateur.
  • partie cryptée (pas tous!) de la CC# et de le stocker dans votre base de données. (Je suggère les 8 chiffres du milieu.) Utilisez une méthode de cryptage forte et une clé secrète.
  • postez le reste du code CC à la personne qui traite vos transactions (probablement vous-même) avec L'ID de la personne à traiter.
  • Lorsque vous vous connectez plus tard, vous tapez dans la pièce d'identité et la partie envoyée par la poste du cc#. Votre système peut déchiffrer l'autre partie et recombiner pour obtenir le nombre complet de sorte que vous pouvez traiter la transaction.
  • enfin, supprimer l'enregistrement en ligne. Ma solution paranoïaque était d'écraser l'enregistrement avec des données aléatoires avant suppression, pour supprimer la possibilité d'un undelete.

cela ressemble à beaucoup de travail, mais en n'enregistrant jamais un CC complet n'importe où, vous le rendez extrêmement difficile pour un pirate à trouver quelque chose de valeur de votre serveur. Croyez-moi, il vaut la peine de la paix de l'esprit.

22
répondu Mike 2012-10-07 05:59:25
la source

le document PCI 1.2 vient de sortir. Il donne un processus pour mettre en œuvre la conformité PCI avec les exigences. Vous pouvez trouver le doc complet ici:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

pour faire court, créez un segment de réseau séparé pour n'importe quel serveur qui sera dédié au stockage des informations CC (habituellement le(S) serveur (s) DB). Isoler les données le plus possible; de garantir un accès minimum nécessaire pour accéder aux données est présent. Chiffrer lorsque vous stockez. Ne jamais stocker PAN's. Purgez les vieilles données et faites tourner vos clés de cryptage.

exemple ne pas utiliser:

  • ne laissez pas le même compte qui peut rechercher des informations générales dans la base de données chercher CC info.
  • ne conservez pas votre base de données CC sur le même serveur physique que votre serveur web.
  • Ne pas autoriser externe (Internet) le trafic dans votre segment de réseau de base de données CC.

Exemple Dos:

  • utilisez un compte de base de données séparé pour interroger CC info.
  • interdit tout trafic mais requis vers le serveur de base de données CC via le pare-feu / listes d'accès
  • restreindre l'accès au serveur CC à un nombre limité d'utilisateurs autorisés.
17
répondu Zak 2008-10-20 23:59:22
la source

j'aimerais ajouter un commentaire non technique auquel vous pourriez penser.""

plusieurs de mes clients exploitent des sites de commerce électronique, y compris un couple qui possède des magasins de taille moyenne. Tous deux, bien qu'ils puissent certainement mettre en œuvre une passerelle de paiement Choisir pas trop, ils prennent le numéro cc, le stocker temporairement crypté en ligne et le traiter manuellement.

ils le font en raison de la forte incidence de la fraude et le traitement manuel permet à prendre des vérifications supplémentaires avant de remplir une ordonnance. On m'a dit qu'ils rejettent un peu plus de 20% de toutes leurs transactions - le traitement manuel prend certainement plus de temps et, dans un cas, ils ont un employé qui ne fait rien d'autre que de traiter les transactions, mais le coût de payer son salaire est apparemment moins élevé que leur exposition s'ils viennent de passer les numéros cc par une passerelle en ligne.

ces deux clients livrent des biens physiques avec une valeur de revente, donc sont particulièrement exposé et pour des articles comme un logiciel où une vente frauduleuse ne se traduirait pas par une perte réelle votre kilométrage varie, mais il est intéressant de considérer ci-dessus les aspects techniques d'une passerelle en ligne si la mise en œuvre de tels est vraiment ce que vous voulez.

EDIT: et depuis que j'ai créé cette réponse, j'aimerais ajouter une mise en garde et dire que le temps est passé où c'était une bonne idée.

pourquoi? Parce que je connais un autre contact qui prenait approche similaire. Les données de la carte ont été stockées sous forme codée, le site Web a été consulté par SSL et les numéros ont été supprimés immédiatement après le traitement. Sûr que vous en pensez?

aucune machine sur leur réseau n'a été infectée par une clé Troyenne. En conséquence, ils ont été identifiés comme étant la source de plusieurs falsifications de cartes de crédit de score - et ont par conséquent été frappés par une amende importante.

à la suite de cela je maintenant jamais conseillez à n'importe qui de manipuler les cartes de crédit eux-mêmes. Depuis, les passerelles de paiement sont devenues beaucoup plus concurrentielles et rentables, et les mesures de lutte contre la fraude se sont améliorées. Le risque est maintenant n'est plus la peine.

je pourrais supprimer cette réponse, mais je pense que le mieux pour laisser monté comme un récit édifiant.

13
répondu Cruachan 2011-05-09 22:34:57
la source

gardez à l'esprit que L'utilisation de SSL pour envoyer un numéro de carte à partir d'un navigateur à un serveur est comme couvrir votre numéro de carte de crédit avec votre pouce lorsque vous donnez votre carte à un caissier dans un restaurant: votre pouce (SSL) empêche les autres clients dans le restaurant (le Net) de voir la carte, mais une fois que la carte est dans les mains du caissier (un serveur web) la carte n'est plus protégée par L'échange SSL, et le caissier pourrait faire n'importe quoi avec cette carte. Accès à un numéro de carte enregistré ne peut être arrêté par la sécurité sur le serveur web. C'est-à-dire que la plupart des vols de cartes sur le net ne se font pas pendant la transmission, ils se font en brisant la mauvaise sécurité du serveur et en volant des bases de données.

7
répondu joe snyder 2010-06-28 03:07:20
la source

pourquoi s'embêter avec la conformité PCI?? Au mieux, vous réduirez vos frais de traitement d'une fraction de un pour cent. C'est l'un de ces cas où tu dois être sûr que c'est ce que vous voulez faire avec votre temps d'avance dans le développement et plus de temps à répondre aux dernières exigences.

dans notre cas, il était logique d'utiliser une passerelle d'abonnement savy et de jumeler celle-ci à un compte de marchand. La passerelle abonnement-savy vous permet de sauter tous les PCI et ne font rien d'autre que de traiter la transaction proprement dite.

nous utilisons TrustCommerce comme notre passerelle et sommes satisfaits de leur service/tarification. Ils ont le code pour un tas de langues qui rend l'intégration assez facile.

5
répondu denton 2009-04-29 01:29:17
la source

assurez-vous d'obtenir un contrôle sur le travail supplémentaire et le budget requis pour PCI. PCI peut exiger d'énormes frais d'audit externe et un effort/soutien interne. Soyez également conscient des amendes/pénalités qui peuvent vous être imposées unilatéralement, souvent très disproportionnées par rapport à l'échelle du "ofense".

3
répondu andora 2009-09-15 15:02:52
la source

il y a beaucoup dans tout le processus. La façon la plus simple de le faire est d'utiliser des services similaires à paypal, de sorte que vous ne manipulez jamais réellement des données de carte de crédit. En dehors de cela, il ya un certain nombre de choses à passer à travers pour obtenir l'approbation d'offrir des services de carte de crédit sur votre site web. Vous devriez probablement parler à votre banque et aux personnes qui émettent votre carte d'identité pour vous aider à mettre en place le processus.

2
répondu Kibbee 2008-09-09 05:56:34
la source

comme d'autres l'ont mentionné, le moyen le plus simple dans ce domaine est l'utilisation de Paypal , Google checkout ou Nochex . Cependant, si vous avez l'intention de faire un nombre important d'affaires, vous pouvez vouloir chercher "upgrading" à des services d'intégration de site de niveau plus élevé tels que WorldPay , NetBanx (UK) ou Neteller (US) . Tous ces services sont raisonnablement facile à mettre en place. Et je sais que Netbanx offre une intégration commode dans certaines des solutions de panier d'Achat En vente libre telles que Atelier (parce que j'ai écrit certains d'entre eux). En outre, vous regardez l'intégration directe avec les systèmes bancaires (et leurs systèmes APAX), mais c'est difficile et à ce stade, vous devez également prouver aux sociétés de cartes de crédit que vous manipulez les numéros de carte de crédit en toute sécurité (probablement pas la peine de considérer si vous êtes ne pas prendre la valeur de $ 100k par mois).

travailler du 1er au dernier les coûts / avantages sont que les premières options sont beaucoup plus faciles (plus rapide/moins cher) à mettre en place vous payer des frais de manutention assez élevés pour chaque transaction. les derniers sont beaucoup plus coûteuses à mettre en place, mais vous payez moins dans le long terme.

l'autre avantage de la plupart des solutions non dédiées est que vous n'avez pas besoin de garder les numéros de carte de crédit cryptés en sécurité. C'est quelqu'un le problème d'else: -)

2
répondu Vagnerr 2008-09-09 14:48:59
la source

Autres questions sur security e-commerce pci-dss