Payment Processors - What do I need to know if I want to accept credit cards on my website?这个问题讨论了不同的付款处理者及其费用,但是我正在寻找答案,如果我想接受信用卡付款该怎么办? 假设我需要为客户存储信用卡号,因此依靠信用卡处理器完成繁重任务的明显解决方案不可用。 PCI数据安全性显然是存储信用卡信息的标准,它具有许多一般要求,但是如何实现这些要求? 那么像Visa这样的拥有最佳实践的供应商呢? 我是否需要通过钥匙扣访问机器?物理上保护建筑物免受黑客攻击怎么办?甚至如果有人将备份文件与SQL Server数据文件放在一起,该怎么办? 备份呢?周围是否还有该数据的其他物理副本? 提示:如果您有商家帐户,则应协商确定他们向您收取"交换加"费用,而不是分层定价。使用分层定价,他们将根据您使用的Visa / MC类型(例如,Visa / MC)向您收取不同的费率。他们会向您收取更多附有丰厚奖励的卡。交换加账单意味着您只需要向处理方支付Visa / MC向其收取的费用,外加固定费用。 (Amex和Discover直接向商家收取自己的费用,因此不适用于这些卡。您会发现Amex费用在3%的范围内,Discover的费用可能低至1%。Visa / MC在2%的范围)。该服务应该为您进行协商(我没有使用过,这不是广告,并且我不隶属于该网站,但是非常需要此服务。) 这篇博文提供了处理信用卡(特别是在英国)的完整摘要。 也许我说错了这个问题,但是我正在寻找这样的提示: 不久前,我在一家我工作的公司经历了这个过程,我计划不久后再以自己的业务再次经历这个过程。如果您具有一些网络技术知识,那还不错。否则,使用Paypal或其他类型的服务会更好。 该过程首先通过设置商家帐户并绑定到您的银行帐户开始。您可能想向您的银行查询,因为许多主要的银行都提供商户服务。您可能能够获得交易,因为您已经是他们的客户,但是如果没有,那么您可以货比三家。如果您打算接受Discover或American Express,则它们将是分开的,因为它们为卡提供商户服务,因此无法解决。还有其他特殊情况。这是一个应用程序,需要准备。 接下来,您将要购买SSL证书,该证书可用于在公共网络上传输信用卡信息时保护通信。有很多供应商,但我的经验法则是从某种程度上选择一个品牌名称。他们越了解,您的客户可能就越听说过它们。 接下来,您将要查找与您的网站一起使用的付款网关。尽管根据您的身高,这可以是可选的,但大多数时候不会。您将需要一个。支付网关供应商提供了一种与您将与之通信的Internet Gateway API进行通信的方式。大多数供应商都通过其API提供HTTP或TCP / IP通信。他们将代表您处理信用卡信息。两个供应商是Authorize.Net和PayFlow Pro。我下面提供的链接提供了有关其他供应商的更多信息。 怎么办?对于初学者,有一些准则可以指导您的应用程序传输交易。在进行所有设置的过程中,会有人查看您的站点或应用程序,并确保您遵守准则,例如使用SSL,并且您拥有使用条款和政策文档,以了解用户所提供的信息。对于。不要从其他站点窃取此文件。自己提出,如果需要,请聘请律师。这些事情大多数都属于Michael在他的问题中提供的PCI数据安全链接。 如果计划存储信用卡号,则最好准备在内部采取一些安全措施以保护信息。确保仅需要访问权限的成员才能访问存储信息的服务器。像任何良好的安全性一样,您可以分层进行处理。您放置的层越多越好。如果需要,可以使用密钥卡类型的安全性(例如SecureID或eToken)来保护服务器所在的房间。如果您负担不起密钥卡路线,请使用两种密钥方法。允许有权进入房间的人签出钥匙,以及他们已经携带的钥匙。他们将需要两个钥匙才能进入房间。接下来,您将使用策略保护与服务器的通信。我的政策是,通过网络与之通信的唯一内容是应用程序,并且信息已加密。不应以任何其他形式访问服务器。对于备份,我使用truecrypt加密将备份保存到的卷。无论何时将数据删除或存储在其他地方,都可以再次使用truecrypt加密数据所在的卷。基本上,无论数据在哪里,都需要进行加密。确保获取数据的所有过程都带有审核记录。使用日志访问服务器机房,使用摄像机(如果可以),等等。另一措施是对数据库中的信用卡信息进行加密。这样可以确保只能在您的应用程序中查看数据,您可以在其中强制谁查看信息。 我将pfsense用于防火墙。我用小型闪存卡运行它,并设置了两个服务器。一种是用于故障转移以实现冗余。 我发现Rick Strahl撰写的这篇博客文章对了解电子商务以及通过Web应用程序接受信用卡所需的知识有很大帮助。 好吧,这真是一个很长的答案。希望这些提示对您有所帮助。 好。 问问自己以下问题:为什么首先要存储信用卡号?您可能没有。实际上,如果您确实将它们存储起来并设法被盗,则可能要承担一些严重的责任。 我编写了一个存储信用卡号的应用程序(因为交易是离线处理的)。这是一个很好的方法:
这听起来需要做很多工作,但是由于永远不会在任何地方记录完整的CC#,因此,黑客很难在Web服务器上找到任何有价值的东西。相信我,值得安心。 PCI 1.2文档刚刚发布。它提供了有关如何实现PCI合规性以及要求的过程。您可以在此处找到完整的文档: https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml 简而言之,为将用于存储CC信息的任何服务器(通常是DB服务器)创建一个单独的网段。尽可能隔离数据,并确保仅存在访问数据所需的最小访问权限。存储时对其进行加密。切勿存储PAN。清除旧数据并旋转您的加密密钥。 示例不:
范例操作:
我想添加您不妨考虑的非技术性评论 我有几个客户经营电子商务网站,其中包括一对拥有中等规模商店的夫妇。两者虽然当然可以实施支付网关,但两者都选择了,但是他们采用了抄送号,将其临时在线存储并手动处理。 他们之所以这样做,是因为欺诈的发生率很高,而人工处理使他们可以在下订单之前进行额外的检查。有人告诉我说他们拒绝所有交易的20%以上-手动处理当然会花费额外的时间,在一种情况下,他们有一个只处理交易的员工,但是支付薪水的费用显然比他们少如果他们只是通过在线网关传递了抄送号码,则可能会曝光。 这两个客户都在交付具有转售价值的实物商品,因此特别容易受到影响,对于欺诈性销售不会导致任何实际损失的软件之类的商品,您的里程可能会有所不同,但值得在在线网关的技术方面进行考虑如果真的要实现这样的目标 编辑:并且自创建此答案以来,我想添加一个警告性的故事,并说这是一个好主意,现在已经过去了。 为什么?因为我知道另一个正在采取类似方法的联系人。卡的详细信息已加密存储,可通过SSL访问该网站,并且处理后立即删除了该号码。你认为安全吗? 否-他们网络上的一台计算机被密钥日志记录木马感染。结果,他们被确定为多次伪造分数信用卡的来源,因此遭到巨额罚款。 因此,我现在从不建议任何人自己处理信用卡。此后,支付网关变得更具竞争力和成本效益,欺诈措施也得到了改善。现在,风险已不再值得。 我可以删除此答案,但是我认为最好还是将其保留下来作为一个警告。 请记住,使用SSL将卡号从浏览器发送到服务器时,就像将拇指交给餐厅的收银员时用拇指遮住信用卡号一样:拇指(SSL)会阻止餐厅中的其他顾客(网络)无法看到卡,但是一旦将卡交给收银员(网络服务器),则该卡将不再受到SSL交换的保护,收银员可以使用该卡进行任何操作。仅可通过Web服务器上的安全性来阻止访问已保存的卡号。即,网络上的大多数卡盗窃都不会在传输过程中完成,这是通过突破不良的服务器安全性并窃取数据库来完成的。 为什么要烦恼PCI合规性?充其量来说,您将可以减少百分之几的手续费。在这种情况下,您必须确定这是您想要做的事情,既要在开发的前期工作,又要随着时间的推移而跟上最新的要求。 在我们的案例中,最有效的方法是使用可订阅订阅的网关,并将其与商家帐户配对。节省订阅的网关使您可以跳过所有PCI合规性,只需要适当地处理事务即可。 我们使用TrustCommerce作为我们的门户,并对他们的服务/定价感到满意。他们具有用于多种语言的代码,使集成变得非常容易。 确保处理PCI所需的额外工作和预算。 PCI可能需要巨额的外部审计费用和内部工作/支持。另外,请注意可能单方面向您征收的罚款/罚金,通常与"罚款"的规模不成比例。 正如其他人提到的,进入此区域最简单的方法是使用Paypal,Google checkout或Nochex。但是,如果您打算从事大量业务,则可能希望查找"升级"到更高级别的站点集成服务,例如WorldPay,NetBanx(UK)或Neteller(US)。所有这些服务都相当容易设置。而且我知道Netbanx可以方便地集成到一些现成的购物车解决方案中,例如Intershop(因为我写了其中的一些)。除了您正在考虑与银行系统(及其APAX系统)直接集成外,这很困难,这时您还需要向信用卡公司证明您正在安全地处理信用卡号(可能不值得考虑您每月的收入就不会达到10万美元)。 从第一天到最后一个成本/收益的原因是,设置早期选项要容易得多(快捷/便宜),这使您为每笔交易支付相当高的手续费。后者的安装成本更高,但从长远来看,您只需支付较少的费用。 大多数非专用解决方案的另一个优点是,您无需确保加密的信用卡号的安全。那就是别人的问题:-) 整个过程有很多。最简单的方法是使用类似于Paypal的服务,这样您就永远不会实际处理任何信用卡数据。除此之外,还有很多事情要经过批准才能在您的网站上提供信用卡服务。您可能应该与您的银行以及签发您的商家ID的人员进行交谈,以帮助您设置流程。 |
