Je veux permettre à mon client utilisateurs d'entrer leurs informations de carte de crédit de sorte que je puisse la recharger tous les mois.
Je me demande comment on devrait enregistrer cette information?
Doit-il être enregistré dans la base de données MySQL (table"user") ou est ce genre d'informations trop sensibles et doivent être stockés dans un autre endroit?
Je n'ai aucune expérience de ce et serait heureux si quelqu'un pouvait me conseiller comment accomplir cela.
Merci.
Comme mentionné ci-dessus, ne pas stocker les informations de carte de crédit dans une base de données. C'est une recette pour l'ennui. Cela permettra de vous faire une très jolie cible pour les pirates et, si elles ont réussi à les récupérer à la fin de votre entreprise et potentiellement ruiner votre vie ainsi que la vie de ceux dont les numéros de carte de crédit sont volés.
Ceci dit voici trois choses à considérer:
1) Votre meilleur pari est d'utiliser un processeur de paiement/de la passerelle de paiement qui offre de facturation récurrente. Un exemple de ceci est Authorize.Net's Automatisé de Facturation Récurrente de service. Une fois que vous avez configuré l'abonnement, ils seront automatiquement le projet de loi à l'utilisateur tous les mois pour vous automatiquement et vous faire connaître les résultats de l'opération. Il vous permet d'économiser une tonne de travail et vous décharge de la responsabilité de stocker des informations de carte de crédit.
2) Si vous ne conservez numéros de carte de crédit, vous devez suivre PCI lignes directrices. Ces lignes directrices sont établies par l'industrie des cartes de paiement et de définir ce que vous pouvez faire et ne pas faire. Il définit également comment les informations de carte de crédit doivent être stockées. Vous aurez besoin de crypter le numéro de carte de crédit, vous devez, mais ne sont pas tenus de, de crypter les informations relatives à la date d'expiration, etc). Vous serez également tenus de veiller à ce que votre serveur web et un réseau sécurisé. Ne pas atteindre la conformité PCI vous fera perdre votre compte de marchand et d'être interdit d'avoir un vrai compte marchand pour toujours. Qui limiterait vous à l'aide de sous-traitants, qui sont de moins en moins flexibles. Gardez à l'esprit que PCI lignes directrices sont un bon début, mais à peine un "comment" quand il s'agit de la sécurité en ligne. Votre objectif sera de dépasser la recommandation (par lot).
3) les États lois remplacent la conformité PCI. Si vous souffrez d'une infraction et numéros de cartes de crédit volées, vous risquez des poursuites pénales. Les lois varient d'un état à l'autre et sont constamment en mouvement, comme les législateurs commencent seulement à réaliser combien sérieux d'une question c'est.
Aussi loin que le cryptage va assurez-vous de lire sur les algorithmes de chiffrement sont en sécurité et n'ont pas été encore levée. Blowfish est un bon début et si vous utilisez PHP le mcrypt bibliothèque est recommandée (exemple).
Il n'est pas nécessaire que vous utilisez une 3ème partie fournisseur de service de paiement comme PayPal, etc. - mais vous avez besoin pour être conforme aux normes PCI si vous allez stocker les informations de carte de paiement. Lire cet article à propos de BC Ferries, qui font face à des amendes substantielles pour ne pas tenir à jour avec la mise en conformité PCI de comprendre comment il est grave d'être conforme aux normes PCI.
Mon employeur actuel passe par la mise en conformité PCI - ce n'est pas une mince affaire, et exige de son personnel pour l'audit. L'application dépend du pays et de l'état/province lois - Canada IIRC vous oblige à être certifié PCI par un PCI employées comité, alors que certains états des états-unis de permettre la mise en conformité PCI de l'audit des entreprises pour servir à la place de la PCI comité.
Je dirais que là où vous stockez ce n'est pas le problème, la clé est de chiffrer la jamais aimer diable hors de lui.
Vous n'avez pas préciser pourquoi vous avez besoin de leur CC de l'information (ce qui devrait toujours être une option de présenter à l'utilisateur).
Donc:
Si j'étais un utilisateur et vous m'avez dit "Hé, c'est sûr... je le stocker dans une base de données", j'avais rapidement à la demande que vous retirez jamais l'aspect de mes données à partir de votre système.
Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
