Lưu trữ chi tiết thẻ tín dụng


60

Tôi cần lưu trữ số thẻ tín dụng để thanh toán định kỳ thông qua người bán bên thứ 3 của chúng tôi.

Có bất kỳ tiêu chuẩn nào tôi cần phải tuân thủ về việc lưu trữ các chi tiết không? Chúng tôi đã chấp nhận thẻ tín dụng trong nhiều năm nhưng chúng tôi thường loại bỏ các chi tiết của chúng ngay khi chúng tôi hoàn thành chúng. Khách hàng của chúng tôi đã yêu cầu chúng tôi lưu trữ thông tin chi tiết của họ để họ không phải trả phí đăng ký theo cách thủ công mỗi tháng.

Chuyển sang PayPal để sử dụng đăng ký của họ không phải là một lựa chọn. Chúng tôi phải lưu trữ chúng, và tôi cần đảm bảo việc lưu trữ an toàn!

Chúng tôi sử dụng MSSQL 2005 cho dữ liệu của mình và mọi thứ đã là SSL.

Câu trả lời:


86

Bạn sẽ cần phải làm theo (đến bức thư) và tốt nhất là vượt quá sự PCI DSS chuẩn. Đây không phải là một nhiệm vụ dễ dàng để thực hiện và cũng không nên thực hiện một cách tầm thường.

Tôi mạnh mẽ khuyên bạn nên tìm một bộ xử lý bên thứ ba mà có thể xử lý này cho bạn và tích hợp nó vào hệ thống thanh toán của bạn. Nó đi CÁCH ngoài việc chỉ có SSL và mã hóa thông tin trong cơ sở dữ liệu. Bạn cũng phải giám sát truy cập, phát hiện sự xâm nhập, có hệ thống chỉ có thể thông báo cho những người bị ảnh hưởng trong trường hợp vi phạm (và xác định dữ liệu nào có thể bị xâm phạm), v.v.

Sau đó, có quyền truy cập vật lý vào các máy chủ, mạng, v.v. Điều này có nghĩa là một tủ bị khóa không được chia sẻ trên các máy chủ mà bạn sở hữu nơi mạng LAN vật lý cũng được bảo vệ. Tuân thủ sẽ không rẻ, hoặc dễ dàng.

Thực sự, dành mọi nỗ lực có thể để giảm tải cho bên thứ ba. Chỉ riêng trách nhiệm pháp lý là không có giá trị rủi ro trừ khi bạn nói về các giao dịch lên tới hàng trăm ngàn (chèn tiền tệ của bạn ở đây) hàng tháng. Trong trường hợp đó, các khoản phí bạn tiết kiệm có thể biện minh cho việc mang lại tài năng cần thiết để thực hiện và giám sát các hệ thống lưu trữ thông tin. Có thể bạn sẽ cần:

  • Lập trình viên hệ thống (bạn sẽ cần các móc kiểm tra cấp độ hệ thống và kernel)
  • IDS / IPS gurus (trừ khi bạn thích khóa nhà cung cấp)
  • Nhân viên 24/7/365 để giám sát các cảnh báo được tạo ra từ các hệ thống mà các chuyên gia thiết kế. Những người này không rẻ, họ đưa ra quyết định rút phích cắm thanh toán hoặc báo cáo lỗi trong các thuật toán mà bạn sử dụng.

Và một lần nữa, bạn có thể chuyển tất cả số đó cho bên thứ ba, khá rẻ.


Hmm, chúng tôi đã đi được nửa đường vì chúng tôi xử lý thông tin nhạy cảm thay cho khách hàng của chúng tôi (máy chủ bị khóa và phát hiện xâm nhập và IPSec trên DMZ đã sẵn sàng). Tôi sẽ có một đọc tốt, cảm ơn.
Đánh dấu Henderson

@Fudeeker - Ngoài việc ngăn chặn truy cập bất hợp pháp, phần quan trọng nhất là phát hiện ra nó và tìm ra những gì có thể đã bị xâm phạm và ai cần được thông báo rất nhanh. Lưu ý, điều này cũng bao gồm sao chép trái phép các tệp sao lưu cơ sở dữ liệu.
Tim Post

5
Thực tế là bạn đang xử lý dữ liệu thẻ tín dụng ngay cả khi bạn không lưu trữ vĩnh viễn, có nghĩa là bạn cần tuân thủ PCI DSS.
Stephen Jennings

@Stephen - Xử lý và lưu trữ là những thứ hoàn toàn riêng biệt khi nói đến PCI. Xử lý chỉ có nghĩa là ĐĂNG một số dữ liệu lên một cổng và chờ phản hồi. Lưu trữ là lon giun độc đáo của riêng mình.
Tim Post

Yêu cầu PCI DSS 3.2 chỉ ra rằng mã theo dõi và xác minh không thể được lưu trữ sau khi ủy quyền ngay cả khi được mã hóa và điều này bao gồm TẤT CẢ các nhật ký bao gồm nhật ký giao dịch cho cơ sở dữ liệu.
Leigh Riffel

23

Không bao giờ nên lưu trữ thông tin thẻ tín dụng bao giờ . Bạn chỉ cần thiết lập cho mình một mùa thu, bất kỳ cổng thanh toán hợp lý nào cũng sẽ cho phép bạn thực hiện các giao dịch định kỳ bằng mã thông báo mà bạn không phải lưu trữ chi tiết thẻ tín dụng.


3
+1 cho ý tưởng không bao giờ lưu trữ CC trong cơ sở dữ liệu của bạn. Nhà cung cấp cổng thanh toán của chúng tôi lưu trữ tất cả thông tin đó ngay bây giờ, đó là một cứu cánh lớn về tiếp xúc bảo mật của chúng tôi.
Milner

Ví dụ: một ưu đãi như vậy là Authorize.net Trình quản lý thông tin khách hàng (CIM) Authorize.net/solutions/merchantsolutions/merchantservice/cim và kể từ khi thanh toán định kỳ được đề cập đến Thanh toán định kỳ tự động (ARB) ủy quyền.net/solutions/merchantsolutions/merchants ... Bạn có thể lưu trữ chúng, nhưng họ sẽ không bao giờ được an toàn. Cuối cùng, bạn sẽ trả về những gì các dịch vụ sẽ khiến bạn mất danh tiếng, mất doanh số, tiền phạt từ bộ xử lý của bạn và bất kỳ vụ kiện nào đến từ thỏa hiệp dữ liệu.
Phòng thí nghiệm Fiasco


8

Có phải Người bán bên thứ 3 của bạn không bao gồm tùy chọn Thanh toán bằng thẻ tín dụng liên tục - hầu hết các công ty lớn ở Anh chắc chắn làm (DataCash, RBS World Pay, v.v.).

Về cơ bản, bạn gửi Chi tiết Thẻ một lần cho họ, với yêu cầu cho cơ quan CCC (nếu tôi nhớ chính xác cần bao gồm lịch biểu dự kiến ​​và số tiền thông thường), sau đó bạn sẽ nhận được mã thông báo từ họ. Sau đó, mỗi tháng / bất cứ điều gì bạn thăm dò người bán bằng mã thông báo và họ xử lý các giao dịch tiếp theo cho bạn - cũng thường có các cơ sở để thiết lập các yêu cầu này cho các yêu cầu đặc biệt. Yêu cầu quan trọng cuối cùng của bạn là thông báo cho khách hàng (thường là ít nhất 10 ngày) trước khi thực hiện thanh toán.

Bằng cách này, bạn không lưu trữ các chi tiết CC ở bất cứ đâu, tất cả đều được xử lý bởi những người đã đáp ứng các yêu cầu.

Điều này tương tự như thực hiện ủy quyền trước trên thẻ, vì vậy bạn không bao giờ phải lưu trữ thẻ tín dụng, chỉ cần một mã thông báo từ Người bán mà bạn có thể gọi khi cần.


4

Chúng tôi phải lưu trữ chúng, và tôi cần đảm bảo việc lưu trữ an toàn!

Một câu hỏi: Tại sao?

Tôi chỉ yêu cầu điều đó bởi vì tôi phải tự mình đối phó với PCI, và theo kịp nó là một nỗi đau. Mặc dù công việc hàng ngày của tôi đủ điều kiện cho chúng tôi là bậc thang thấp nhất để tuân thủ PCI, nhưng vẫn còn rất nhiều điều xảy ra. Mã hóa, cân nhắc đặc quyền tối thiểu, bảo mật hệ điều hành máy chủ, bảo mật mạng nội bộ, bảo mật biên giới, kiểm toán của bên thứ ba ... đó là tất cả rất nhiều để theo kịp. Và đó là ngay cả với chúng tôi không lưu trữ thông tin thẻ tín dụng!

(Sidenote: Nếu bạn đang làm thương mại điện tử, bạn phải tuân thủ PCI ngay cả khi bạn không lưu trữ dữ liệu CC. Nếu bạn không khiếu nại ngay bây giờ, hãy xem xét bản thân bạn may mắn vì nó chưa cắn bạn.)

Nhìn vào việc có bộ xử lý của bạn xử lý nó. Chúng tôi sử dụng Authorize.net và họ có một API tuyệt vời để chúng tôi có thể xây dựng giao diện tùy chỉnh của riêng mình, nhưng họ đảm nhận việc lưu trữ và xử lý các khoản thanh toán thực tế. Nếu chúng tôi muốn thiết lập thanh toán định kỳ, họ có một hệ thống để lưu trữ thông tin. Thành thật mà nói, tôi tin tưởng họ hơn tôi tin tưởng bản thân mình.


4

Như những người khác đã đề cập, bạn đang tìm kiếm PCI-DSS. Cũng như những người khác đã đề cập, việc tuân thủ có thể sẽ rất tốn kém cho các trang web nhỏ.

Chuyển sang PayPal để sử dụng đăng ký của họ không phải là một lựa chọn. Chúng tôi phải lưu trữ chúng, và tôi cần đảm bảo việc lưu trữ an toàn!

Bạn có thể lưu trữ cục bộ một ID xác định thông tin thẻ tín dụng của khách hàng trên cổng thanh toán của bạn. Tôi không chắc chắn PayPal cung cấp tùy chọn này nhưng có các cổng thanh toán khác.

Cũng lưu ý rằng ngay cả khi bạn không lưu trữ dữ liệu thẻ tín dụng vào đĩa, bạn vẫn ở trong phạm vi cho một số yêu cầu PCI-DSS. Cho đến nay, cách dễ nhất để tuân thủ là không lấy bất kỳ dữ liệu CC nào (tức là: bằng cách gửi trực tiếp hình thức thanh toán đến cổng thanh toán).


3

Các dịch vụ như http://chargeify.com/ cung cấp thêm một lớp trên cùng của các cổng thanh toán hiện có. Họ có thể sẽ cung cấp tất cả các cách để lưu trữ thẻ tín dụng cho bạn, triển khai thanh toán định kỳ và thậm chí tạo báo cáo cho bạn.

Điều này sẽ cho phép bạn tránh được toàn bộ trách nhiệm pháp lý và vấn đề tuân thủ PCI. Một mối quan tâm của tôi là nếu một ngày nào đó bạn muốn thay đổi nhà cung cấp, tài khoản thương gia hoặc cổng. Làm thế nào để bạn có 10.000 khách hàng của bạn với bạn? Họ có bàn giao cơ sở dữ liệu về thẻ tín dụng không? Công việc với đối thủ sẽ chuyển thông tin thẻ tín dụng qua?

Tôi nghi ngờ điều đó. Có thể bạn phải yêu cầu tất cả khách hàng của mình gửi lại thông tin thanh toán nếu bạn thay đổi nhà cung cấp. Đây là một đối số nhỏ có lợi cho việc tự lưu trữ thông tin thẻ tín dụng. Có lẽ chỉ có giá trị nếu bạn sẽ có rất nhiều khách hàng và rất nhiều doanh thu. Tôi rất tò mò muốn nghe những suy nghĩ của người khác về câu hỏi hóc búa đặc biệt này.


Đó là một điểm rất tốt, tôi đã không nghĩ về điều đó. Chúng tôi đã sử dụng SecurePay được khoảng 5-6 năm và không có bất kỳ mối quan tâm nào với họ, vì vậy tôi nghĩ rằng chúng tôi sẽ gắn bó với họ, nhưng ai biết được tương lai sẽ ra sao ...
Mark Henderson

2

Tôi chưa có đủ đại diện để upvote hoặc bình luận, vì vậy đây là một câu trả lời mới. Như zhaph đã chỉ ra , nhiều công ty thương mại cung cấp một hệ thống thanh toán định kỳ nơi họ xử lý việc lưu trữ cho bạn.

Chúng tôi đã sử dụng Authorize.net cho bất kỳ khách hàng nào không muốn sử dụng PayPal và nó hoạt động khá tốt (khiếu nại lớn duy nhất của chúng tôi là khóa API được đặt lại mỗi 6 tháng và họ không bận tâm thông báo cho bạn khi điều đó xảy ra, vì vậy trang chỉ dừng hoạt động). API của họ dựa trên XML và bạn có thể tìm thấy các trình bao bọc cho nó chỉ bằng mọi ngôn ngữ.


1

Lưu ý rằng nếu cuối cùng bạn quyết định lưu trữ thông tin thẻ tín dụng trong db của riêng bạn, thì trong mọi trường hợp, bạn không nên lưu mã bảo mật thẻ 3 chữ số . Làm như vậy bị nghiêm cấm bởi các hiệp hội thẻ.

BTW, bạn không cần mã bảo mật thẻ để thực hiện giao dịch. Nó cải thiện tỷ lệ phát hiện gian lận, nhưng bạn không cần nó nếu bạn có mối quan hệ đang diễn ra với khách hàng. (Và ngay cả khi bạn nghĩ rằng bạn cần nó, bạn không thể lưu trữ nó. Không có vấn đề gì.)

Tôi cũng thứ hai các khuyến nghị khác để không lưu trữ thông tin. Trình quản lý thông tin khách hàng của Authorize.Net rất dễ sử dụng và rẻ tiền. Nó sẽ rẻ hơn nhiều để bạn sử dụng nó hơn là phải chịu chi phí PCI vốn có trong việc lưu trữ thông tin trên các máy chủ của riêng bạn.


1

Nếu bạn định lưu trữ thẻ tín dụng trong cơ sở dữ liệu của mình, mã hóa là chìa khóa. Bạn cũng muốn (hoặc có thể cần) yêu cầu bên thứ ba thực hiện kiểm tra tuân thủ định kỳ để đảm bảo hệ thống của bạn hoạt động tốt.


5
Nhưng đừng lưu trữ CC trong cơ sở dữ liệu của bạn. Đừng.
dimo414

Mã hóa chỉ là sự khởi đầu. Truy cập tải xuống SAQ (Câu hỏi tự đánh giá) có thể áp dụng pcisecuritystiterias.org/merchants/elf_assessment_form.php của bạn và bắt đầu tìm ra rằng mã hóa cơ sở dữ liệu nằm khá xa trong danh sách yêu cầu. Có rất nhiều cách rò rỉ thông tin thẻ tín dụng mà bạn chưa từng chạm đến liên quan đến việc lưu trữ thẻ tín dụng.
Phòng thí nghiệm Fiasco
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.