Processeurs de paiement - Que dois-je savoir si je veux accepter les cartes de crédit sur mon site Web?

Question

Cette question des pourparlers sur les différents processeurs de paiement et ce qu'ils coûtent, mais je suis à la recherche de la réponse à ce que dois-je faire si je veux accepter les paiements par carte de crédit?

Que j'ai besoin de stocker des numéros de carte de crédit pour les clients, de sorte que la solution la plus évidente de s'appuyer sur le processeur de carte de crédit pour faire le gros du travail n'est pas disponible.

Sécurité des Données du PCI, ce qui est apparemment le standard pour le stockage des informations de carte de crédit, a un ensemble d'exigences d'ordre général, mais comment les mettre en œuvre?

Et les vendeurs, comme Visa, qui ont leurs propres pratiques?

Dois-je avoir une clé d'accès à la machine? Qu'en est physiquement en le protégeant contre les pirates dans le bâtiment? Ou même si quelqu'un a eu la main sur les fichiers de sauvegarde avec les fichiers de données sql server sur elle?

Ce sur les sauvegardes? Il existe d'autres copies physiques de données?

Astuce: Si vous obtenez un compte marchand, vous devez négocier qu'ils vous facturer "l'échange plus" place de la tarification différenciée. Avec plusieurs niveaux de prix, ils vont vous facturer des taux différents en fonction du type de Visa/MC -- ie. ils vous font payer plus pour des cartes avec de grandes récompenses attachées. Échange de plus de facturation signifie que vous ne payez que le processeur de ce Visa/MC frais, plus un montant forfaitaire. (Amex, Discover charge leurs propres tarifs directement aux commerçants, donc cela ne s'applique pas à ces cartes. Vous trouverez Amex taux de 3% de la gamme et de Découvrir pourrait être aussi faible que 1%. Visa/MC est le 2% de la gamme). Ce service est censé faire de la négociation pour vous (je ne l'ai pas utilisé, ce n'est pas une annonce, et je ne suis pas affilié avec le site, mais ce service est grandement nécessaire.)

Ce blog donne un aperçu complet de la manipulation de cartes de crédit (en particulier pour le royaume-UNI).

---

Peut-être que j'ai formulé la question de mal, mais je suis à la recherche pour obtenir des conseils comme ceux-ci:

1. Utilisation SecurID ou eToken pour ajouter un mot de passe supplémentaire de la couche physique de la boîte.
2. Assurez-vous que la boîte est dans une chambre avec un cadenas ou un code de touche de la combinaison.

Answer 1

Je suis passé par ce processus de ne pas il ya longtemps avec une compagnie pour laquelle je travaillais et j'ai l'intention d'aller à travers elle à nouveau bientôt avec ma propre entreprise. Si vous avez un réseau de connaissances techniques, ce n'est vraiment pas mauvais. Sinon, vous serez mieux en utilisant Paypal ou un autre type de service.

Le processus commence par l'obtention d'un compte marchand de configuration et lié à votre compte bancaire. Vous voudrez peut-être vérifier auprès de votre banque, parce que beaucoup de grandes banques fournissent des services marchands. Vous pouvez être en mesure d'obtenir des offres, parce que vous êtes déjà un client de la leur, mais si pas, alors vous pouvez faire le tour. Si vous prévoyez sur l'acceptation de Discover ou American Express, ceux-ci vont être séparés, car ils fournissent les services aux commerçants pour leurs cartes, pas moyen de contourner cela. Il y a d'autres cas spéciaux aussi. C'est un processus de demande, être préparé.

Ensuite, vous aurez envie d'acheter un certificat SSL que vous pouvez utiliser pour sécuriser vos communications lorsque les informations de carte de crédit est transmis sur des réseaux publics. Il ya beaucoup de vendeurs, mais ma règle d'or est de choisir celui qui est le nom d'une marque dans un sens. Plus ils sont connus, le mieux à votre client a probablement entendu parler d'eux.

Ensuite, vous aurez envie de trouver une passerelle de paiement à utiliser avec votre site. Même si cela peut être facultatif, en fonction de la taille que vous êtes, mais la plupart du temps, il ne sera pas. Vous en aurez besoin. La passerelle de paiement des fournisseurs offrent une façon de parler à la Passerelle Internet de l'API qui vous permettra de communiquer avec. La plupart des fournisseurs offrent des HTTP ou TCP/IP communication avec leur API. Ils vont traiter les informations de carte de crédit en votre nom. Deux vendeurs sont Authorize.Net et PayFlow Pro. Le lien que j'ai fournis ci-dessous plus d'informations sur d'autres fournisseurs.

Maintenant ce qui? Pour commencer il ya des lignes directrices sur ce que votre application doit respecter pour transmettre les transactions. Pendant le processus d'obtention de tout programme d'installation, quelqu'un va regarder votre site ou de votre application et assurez-vous de respecter les lignes directrices, comme l'utilisation de SSL et que vous avez des conditions d'utilisation et politique de la documentation sur ce que les informations de l'utilisateur est de vous donner est utilisé pour. Ne volez pas ce à partir d'un autre site. Venir avec votre propre, embaucher un avocat si vous en avez besoin. La plupart de ces choses relèvent de la Sécurité des Données du PCI lien Michael fourni dans sa question.

Si vous prévoyez de stocker les numéros de carte de crédit, alors vous feriez mieux d'être prêt à mettre certaines mesures de sécurité en place en interne pour protéger l'info. Assurez-vous que le serveur l'information est stockée est accessible uniquement aux membres qui ont besoin d'y avoir accès. Comme tout bon de sécurité, vous faites les choses dans les couches. Les couches les plus vous mettre en place la meilleure. Si vous le souhaitez, vous pouvez utiliser la télécommande de type de sécurité, comme SecureID ou eToken pour protéger la salle le serveur est en cours. Si vous ne pouvez pas se permettre le porte-clés route, puis utilisez les deux clés de la méthode. Permettre à une personne qui a accès à la salle de signer une clé, qui va de pair avec une clé, ils portent déjà. Ils auront besoin de deux clés pour accéder à la salle. Ensuite, vous protéger de la communication vers le serveur avec les politiques. Ma politique est que la seule chose à communiquer à travers le réseau, c'est l'application et que les informations sont cryptées. Le serveur ne doit pas être accessible dans toute autre forme. Pour les sauvegardes, j'utilise truecrypt pour chiffrer le volume, les sauvegardes seront stockées. Chaque fois que les données sont supprimées ou stockées quelque part d'autre, puis encore une fois vous utilisez truecrypt pour chiffrer le volume de données est sur. Fondamentalement, où jamais les données, il doit être chiffré. Assurez-vous que tous les processus pour en arriver à la porte de données d'audit des sentiers. utiliser les journaux pour l'accès à la salle de serveur, l'utilisation de caméras si vous le pouvez, etc... une Autre mesure consiste à chiffrer les informations de carte de crédit dans la base de données. Cela permet de s'assurer que les données ne peuvent être consultées dans votre application où vous pouvez les appliquer qui voit les informations.

J'utilise pfsense pour mon pare-feu. J'exécute une carte compact flash et disposez de deux serveurs de l'installation. L'un est pour le basculement de la redondance.

J'ai trouvé ce blog par Rick Strahl qui a contribué énormément à comprendre faire e-commerce et ce qu'il faut pour accepter les cartes de crédit par le biais d'une application web.

Eh bien, cela s'est avéré être une longue réponse. J'espère que ces conseils aider.

Answer 2

Le PCI 1.2 document vient de sortir. Il donne un processus de la façon de mettre en œuvre des PCI conformité avec les exigences. Vous pouvez trouver toute la doc ici:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

Longue histoire courte, la création d'un segment de réseau pour n'importe quel serveurs sera dédiée au stockage CC info (généralement DB serveur(s)). Isoler les données autant que possible, et de garantir un accès minimum nécessaire pour accéder aux données est présent. Chiffrer lorsque vous stockez. Ne jamais stocker de PAN. Purger les anciennes données et de faire pivoter vos clés de chiffrement.

Exemple à Ne pas faire :

• Ne laissez pas le même compte que peut de recherche générale de l'info dans la base de données CC info.
• Ne gardez pas votre CC de la base de données sur le même serveur physique que votre serveur web.
• Ne pas permettre à des externes (Internet) de la circulation dans votre CC de base de données segment de réseau.

Exemple Dos:

• Utiliser une Base de données distincte du compte de la requête CC info.
• Interdire tous les mais la circulation nécessaires à CC serveur de base de données via le pare-feu/listes d'accès
• Restreindre l'accès au serveur CC à un ensemble limité d'utilisateurs autorisés.

Answer 3

J'aimerais ajouter un non-technique du commentaire que vous pourriez réfléchir

Plusieurs de mes clients e-commerce sites, y compris un couple qui modérément grands magasins. Deux de ceux-ci, tandis que certainement ils pourraient mettre en place une passerelle de paiement choisissez pas trop, ils prennent le numéro de cc, de le stocker temporairement crypté en ligne et le processus manuellement.

Ils font cela en raison de la forte incidence de la fraude et de traitement manuel permet de prendre des contrôles supplémentaires avant de remplir une ordonnance. Je me suis dit qu'ils rejettent un peu plus de 20% de l'ensemble de leurs opérations de traitement manuellement prend certainement plus de temps et, dans un cas, ils ont un employé qui ne fait rien, mais le traitement des transactions, mais le coût à payer son salaire est apparemment moins de leur exposition, si ils ont juste passé les numéros de cc si un accès en ligne.

Deux de ces clients sont à la livraison physique des biens à la valeur de revente, sont donc particulièrement exposées et pour les objets comme les logiciels pour lesquels une vente frauduleuse de ne pas entraîner une perte réelle de votre kilométrage varient, mais il est utile de considérer, au-dessus de l'aspect technique d'un portail en ligne si la mise en œuvre de telles est vraiment ce que vous voulez.

EDIT: Et depuis la création de cette réponse, je voudrais ajouter un conte d'avertissement et de dire que le temps est passé où c'était une bonne idée.

Pourquoi? Parce que je sais d'un autre contact qui a été adoption d'une approche similaire. Les détails de la carte ont été stockées sous forme cryptée, le site web a été consulté par le protocole SSL, et les numéros ont été effacées immédiatement après le traitement. Sûr que vous en pensez?

Pas - une machine sur leur réseau a été infecté par une clé de journalisation de Troie. En conséquence, ils ont été identifiés comme étant la source de plusieurs pointage de crédit carte de faux - et a par conséquent été frappé par une grosse amende.

Comme un résultat de ce que j'ai maintenant ne jamais conseiller à quiconque de gérer les cartes de crédit eux-mêmes. Les passerelles de paiement ont, depuis, devenu beaucoup plus compétitif et rentable, et les mesures de fraude ont été améliorées. Le risque est maintenant n'est plus la peine.

Je pourrais supprimer cette réponse, mais je pense que le mieux pour laisser monté comme un récit édifiant.

Answer 4

Gardez à l'esprit que l'utilisation de SSL pour envoyer un numéro de carte à partir d'un navigateur à un serveur, c'est comme la couverture de votre numéro de carte de crédit avec votre pouce lorsque vous remettez votre carte à un caissier dans un restaurant: votre pouce (SSL) empêche les autres clients dans le restaurant (sur le Net) de voir la carte, mais une fois que la carte est dans les mains de la caisse (un serveur web) la carte n'est plus protégée par le protocole SSL exchange, et la caisse pourrait être de faire quelque chose avec cette carte. L'accès à une carte enregistrée nombre ne peut être arrêté par la sécurité sur le serveur web. C'est à dire, plus de carte de vols sur le net ne sont pas fait pendant la transmission, elles ont fini par briser les pauvres serveur de sécurité et de voler des bases de données.