问题描述
不久前,我在一家我工作的公司经历了这个过程,我计划很快在我自己的企业中再次经历这个过程。如果您有一些网络技术知识,那确实还不错。否则,您最好使用 Paypal 或其他类型的服务。
该过程首先设置 商家帐户并绑定到您的银行帐户。您可能需要向您的银行查询,因为许多主要银行都提供商户服务。您可能能够获得交易,因为您已经是他们的客户,但如果没有,那么您可以货比三家。如果您打算接受discover 或 AmericanExpress,它们将是分开的,因为它们为他们的卡提供商家服务,没有绕过这个。还有其他一些特殊情况。这是一个申请过程,请做好准备。
接下来,您将需要购买一个 ,当信用卡信息通过公共网络传输时,您可以使用它来保护您的通信。有很多供应商,但我的经验法则是选择一个在某种程度上是品牌名称的。他们越为人所知,您的客户可能对他们的了解就越好。
接下来,您将需要找到与您的网站一起使用的 。虽然这可以是可选的,具体取决于您的大小,但大多数情况下不会。你将需要一个。支付网关供应商提供了一种与您将与之通信的 Internet 网关 API 进行通信的方式。大多数供应商通过其 API 提供 HTTP 或 TCP/IP 通信。他们将代表您处理信用卡信息。两个供应商是Authorize.Net和PayFlow Pro。我在下面提供的链接包含有关其他供应商的更多信息。
怎么办?对于初学者,有一些关于您的应用程序必须遵守传输交易的指南。在进行所有设置的过程中,有人会查看您的网站或应用程序,并确保您遵守指南,例如使用 SSL,并且您有使用条款和政策文档,说明用户提供给您的信息的用途为了。不要从其他网站窃取这个。想出你自己的,如果你需要聘请律师。大多数这些事情都属于迈克尔在他的问题中提供的 PCI 数据安全链接。
如果您打算存储信用卡号码,那么您最好准备好在内部采取一些安全措施来保护信息。确保存储信息的服务器只有需要访问权限的成员才能访问。像任何良好的安全性一样,您可以分层做事。您放置的层数越多越好。如果您愿意,可以使用密钥卡类型安全性,例如SecureID或eToken保护服务器所在的房间。如果您买不起密钥卡路线,请使用两键方法。允许有权进入房间的人注销钥匙,该钥匙与他们已经携带的钥匙一起使用。他们需要两把钥匙才能进入房间。接下来,您使用策略保护与服务器的通信。我的策略是,唯一通过网络与它通信的是应用程序,并且该信息是加密的。服务器不应以任何其他形式访问。对于备份,我使用truecrypt加密备份将保存到的卷。每当数据被删除或存储在其他地方时,您再次使用 truecrypt 来加密数据所在的卷。基本上无论数据在哪里,都需要加密。确保所有获取数据的过程都带有审计线索。使用日志访问服务器机房,如果可以的话使用摄像头,等等……另一个措施是对数据库中的信用卡信息进行加密。这确保只能在您的应用程序中查看数据,您可以在其中强制执行谁可以查看信息。
我使用pfsense作为我的防火墙。我使用紧凑型闪存卡运行它并设置了两台服务器。一种是用于冗余的故障转移。
我发现了 Rick Strahl 的这篇博客文章,它极大地帮助理解了做电子商务以及通过 Web 应用程序接受信用卡需要什么。
解决方法
假设我需要为客户 存储 信用卡号码,因此依赖信用卡处理器完成繁重工作的明显解决方案不可用。
PCI
数据安全,这显然是存储信用卡信息的标准,有很多通用要求,但是如何实现它们呢?
那么像Visa这样拥有自己最佳实践的供应商呢?
我需要有钥匙扣访问机器吗?如何在物理上保护它免受建筑物中的黑客攻击?或者,如果有人拿到了带有 sql server 数据文件的备份文件怎么办?
备份呢?周围是否有该数据的其他物理副本?
提示:如果您有一个商家帐户,您应该协商他们向您收取“交换加价”而不是分层定价。
通过分层定价,他们将根据使用的 Visa/MC 类型向您收取不同的费率——即。他们向您收取更多附加有丰厚奖励的卡。交换加计费意味着您只需向处理器支付
Visa/MC 向他们收取的费用,外加固定费用。(Amex 和 Discover 直接向商家收取自己的费率,因此这不适用于这些卡。您会发现 Amex 费率在
3% 范围内,而 Discover 可能低至 1%。Visa/MC 在2% 的范围)。
该服务应该为您进行谈判(我没有使用它,这不是广告,我不隶属于该网站,
这篇博客文章提供了 处理信用卡的完整纲要(特别是针对英国)。
也许我用错了这个问题,但我正在寻找这样的提示: