Sauvegarder des informations de carte de crédit dans la base de données MySQL? [fermé]

je veux permettre à mes clients utilisateurs d'entrer leurs informations de carte de crédit afin que je puisse les facturer tous les mois.

je me demande comment on devrait sauvegarder cette information?

doit-il être sauvegardé dans la base de données MySQL (table"utilisateur") ou ce type d'information est-il trop sensible et doit-il être stocké dans un autre endroit?

je n'ai aucune expérience de ce et serait heureux si quelqu'un pouvait me conseiller comment accomplir cela.

Merci.

36
demandé sur marc_s 2010-07-25 15:04:55

3 réponses

comme il est mentionné ci-dessus, ne conservez pas les renseignements relatifs aux cartes de crédit dans une base de données. C'est une recette pour l'ennui. Cela fera de vous une cible très attrayante pour les pirates et, s'ils réussissent à les récupérer, mettre fin à votre entreprise et potentiellement ruiner votre vie ainsi que celle de ceux dont les numéros de carte de crédit sont volés.

cela dit, Voici trois choses à considérer:

1) Votre meilleur pari est d'utiliser un paiement passerelle de traitement / paiement qui offre une facturation récurrente. Un exemple de ceci est Authorize.Net service automatisé de facturation récurrente . Une fois l'abonnement mis en place, ils factureront automatiquement l'utilisateur tous les mois pour vous et vous feront connaître les résultats de la transaction. Il vous épargne une tonne de travail et vous dégage de la responsabilité de stocker des informations de carte de crédit.

2) Si vous stockez des numéros de carte de crédit, vous devez suivre PCI lignes directrices . Ces lignes directrices sont établies par l'industrie des cartes de paiement et définissent ce que vous pouvez et ne pouvez pas faire. Il définit également la façon dont les renseignements sur les cartes de crédit doivent être stockés. Vous aurez besoin de chiffrer les numéros de carte de crédit et vous devriez, mais ne sont pas tenus de chiffrer, les informations connexes (date d'expiration, etc). Vous devrez également vous assurer de la sécurité de votre serveur web et de votre réseau. Ne pas respecter la conformité PCI entraînera la perte de votre compte marchand et l'interdiction d'avoir un vrai compte marchand pour toujours. Cela vous limiterait à utiliser des processeurs tiers qui sont moins flexibles. Gardez à l'esprit que les lignes directrices de PCI sont un bon début, mais à peine un "comment" quand il s'agit de la sécurité en ligne. Votre objectif serait de dépasser la recommandation (de beaucoup).

3) les lois des États et des pays remplacent la conformité à la PCI. Si vous souffrez d'une violation et numéros de carte de crédit sont volés, vous risquez des poursuites pénales. Les lois varient d' l'état à l'état et sont constamment en mouvement, comme les législateurs commencent seulement à réaliser combien sérieux d'une question c'est.

en ce qui concerne le cryptage, assurez-vous de lire sur quels algorithmes de cryptage sont sécurisés et n'ont pas encore été brisés. Blowfish est un bon début et si vous utilisez PHP la bibliothèque mcrypt est recommandé ( exemple ).

77
répondu John Conde 2018-10-09 17:32:52

le moyen le plus sûr est de pas stocker les informations de la carte de crédit sur votre système, mais laissez un 3 rd partie fournisseur de paiement le faire pour vous.

16
répondu ZippyV 2010-07-25 16:15:44

il n'est pas nécessaire que vous utilisiez un fournisseur de paiement tiers comme PayPal, etc. – mais vous devez être conforme PCI si vous voulez stocker des informations de carte de paiement. Lire cet article à propos de BC Ferries, qui font face à des amendes importantes pour ne pas se tenir à jour avec la conformité PCI pour comprendre à quel point il est grave d'être conforme PCI.

mon employeur actuel passe par la conformité PCI – ce n'est pas un processus anodin, et nécessite du personnel pour la vérification. L'application de la loi dépend des lois du pays et de l'état ou de la province – Canada L'IIRC exige que vous soyez PCI certifié par un comité employé par PCI, tandis que certains États aux États-Unis permettent aux sociétés de vérification de la conformité PCI de siéger à la place du Comité PCI.

6
répondu OMG Ponies 2016-05-27 18:56:28