Stocker Des Informations De Carte De Crédit
Donc je sais qu'il y a eu de nombreux posts sur le stockage des informations de carte de crédit. Nous construisons une application mobile et voulez les gens à être en mesure d'entrer dans leurs informations de carte une fois, pas à chaque achat.
Nous avons regardé Authorize.net CIM, et il semble être une solution idéale (nous venons de stocker un ID de profil ou un Jeton, qui renvoie le numéro de carte de crédit)... mais il risque de tomber à court de nos besoins, depuis les informations de carte de crédit n'est pas traité (nécessairement) par authorize.net mais quel que soit le compte marchand de nous envoyer le paiement en trop. En d'autres termes, nous voulons pour stocker les informations de carte de crédit comme un porte-monnaie... pas nécessairement processus avec Authorize.net chaque fois.
La lecture de la CIM documentation XML (p.94), il semble que la getCustomerPaymentProfileResponse masques de la carte de crédit données de retour... donc je ne vois pas comment cela pourrait être utile pour le traitement si les données sont masquées?
Nous avons quelques autres options pour la mise en œuvre, mais j'espérais vraiment avoir un basé sur le web permettant aux clients de gérer leurs comptes de paiement. Quelqu'un sait-il des moyens pour stocker des données de carte de crédit qui peuvent être appelées sur demande à être transmises à des marchands de processeur?
MODIFIER 4.28.2011 - je suis de frapper un mur avec cette. Que faire si nous ne stockons pas les informations de carte de crédit à tous, ont les clients d'entrer et de le passer... comment on peut le faire en toute sécurité? Pas de stockage, passer le long de HTTPS, de chiffrer les données de la carte pendant le transport?
Juste une suggestion. NE PAS stocker ces informations sur le téléphone lui-même. Si vous le stocker sur un site web afin que vos clients peuvent gérer un profil client, assurez-vous d'investir dans le certificat SSL afin de pouvoir. J'irais même en ne percevant que ce que vous avez besoin si ce qui arrive à Sony de ne pas arriver à votre entreprise.
Quant à votre question, je voudrais simplement contacter Authorize.net personnel de soutien pour être honnête. Ce que vous ne voulez pas faire, store informations de carte de crédit, sauf si vous avez. Assurez-vous de permettre au client que le choix de la sauvegarde de l'information. J'ai toujours pensé que la plupart des vendeurs simplement stockées numéro d'autorisation lorsque vous traitez avec ce genre d'information après la première transaction.
Ouais, le problème, c'est que nous allons être en les intégrant avec les différents fournisseurs.... dépend de l'endroit où l'application est utilisée. Donc j'ai vraiment besoin de la partie de stockage, la transformation de la partie.
Si c'était moi, je voudrais travailler avec votre processeur. Par exemple, l'Authorize.net solution de sons idéal si vous avez traité à travers eux. Et votre processeur peut avoir des exigences particulières à ce sujet. Donc, je vous en contact avec eux.
OriginalL'auteur Nick | 2011-04-27
Vous devez vous connecter pour publier un commentaire.
Malheureusement, il n'est pas facile à atteindre cet objectif.
Comme vous le savez, les Prestataires de Services de Paiement permettra de stocker en toute sécurité les détails de la carte, et le retour d'un id de jeton (de sorte que vous pouvez faire référence à ces détails), mais ils ne peuvent pas retourner l'original de détails de carte de revenir à vous.
C'est parce que la PSP va avoir traversé conformité PCI-DSS. Une partie de cette conformité est de s'assurer que les détails de la carte sont passés (comme à d'autres 3e parties) est aussi PCI-DSS. Si ils sont de permettre aux détails de la carte à renvoyer à partir de la voûte pour le client, alors qu'ils auraient besoin pour s'assurer que le client est également PCI-DSS (ce qui serait assez bien vaincre le point de la client à l'aide d'un Prestataire de Services de Paiement!).
Vos options sont donc:
- Travail par le biais de conformité PCI-DSS, de sorte que vous pouvez stocker les détails de la carte en toute sécurité vous-même.
- Stocker les détails de la carte à chaque Prestataire de Services de Paiement que vous interagir avec, et de stocker le retour de jetons de chaque.
OriginalL'auteur PaulG
Bande fait quelque chose comme ça. Ils traitent les détails de la carte sans vous avoir jamais à les stocker et de vous redonner un jeton représentant la carte de crédit, que vous pouvez ensuite:
Il y a de bonnes RailsCast sur la facturation avec les bandes qui vaut le détour. Très développeur sympathique.
Vous permettent-ils de mettre des détails de carte de crédit hébergé sur un popup comme Authorize.net CIM ?
OriginalL'auteur joseph.hainline
Modifier
Je viens de réaliser Authorize.Net le CIM est une sorte de segmentation en unités de service. Alors, vous êtes probablement au courant de la plupart de cette. Je vais laisser le post ici bien qu'il peut-être utile pour quelqu'un d'autre.
Si ces marchands/fournisseurs sont prêts à modifier leur API, j'aurais l'air dans la carte de segmentation. C'est une fonctionnalité offerte par certains processeurs qui vous permet de transact paiements sans un numéro de carte. La façon dont cela fonctionne est sur la première opération de l'utilisateur mains de leurs informations de carte pour le processeur, qui passe à l'arrière d'un jeton pour le commerçant qui identifie de manière unique le titulaire de la carte de données pour que l'utilisateur & marchand, et de la carte de l'utilisateur les données sont stockées en interne par le processeur.
Vous pouvez ensuite stocker ces jetons et de les transmettre au fournisseur d'applications de paiement, ce qui contribuerait à les utiliser pour traiter les transactions. Je suppose que ces jetons sont spécifiques à un marchand spécifiques, de sorte que vous aurait probablement pour stocker 1 jeton par vendeur/marchand pour un utilisateur spécifique.
Il y a peut-être une règle à ce sujet, où le vendeur/commerçant ne peut pas proxy jetons ou autrement auprès d'une tierce partie. Si c'est le cas, vos fournisseurs peuvent fournir un nouveau jeton/guid que des cartes pour le jeton qu'ils stockent en interne pour une utilisation avec leur processeur de carte de...
Google - crédit de la carte de segmentation en unités
Les Normes PCI
PCI-DSS n'est pas une blague, et bien que ces marchands/fournisseurs n'est pas techniquement besoin de divulguer à son processeur que votre application est de stocker des numéros de carte, mais si elles ne divulguer qu'il pourrait être gênant. L'une des deux choses peuvent se produire:
C'est une bonne idée de ce que vous proposez, alors bonne chance! Le seul problème que je peux prévoir avec le passage de ces jetons est autour si les jetons sont compromis, et le marchand accepte de l'extérieur de votre application et/ou sans certains sorte de authentifié contexte, alors le pire, un attaquant pourrait faire supposer une adresse de livraison/facturation est liée à l'jeton est d'acheter et de les expédier à moi un tas de choses que je ne veux pas - ce qui pourrait être mauvais - je être en colère - mais il serait moins grave que le vol d'une carte de données.
OriginalL'auteur HAL9000