Tôi cần lưu số thẻ tín dụng và mã số bí mật của người dùng trong cơ sở dữ liệu dưới dạng văn bản thuần túy (đồng thuận rõ ràng) cho hoạt động tự động được thực hiện từ máy chủ.Tôi có thể lưu mã bí mật thẻ tín dụng trong cơ sở dữ liệu không?
Có vấn đề gì không?
Tôi cần biết điều gì?
Hầu hết các thỏa thuận xử lý thẻ tín dụng mà tôi đã thấy không cho phép bạn lưu trữ mã từ mặt sau của thẻ.
Có các tác động bảo mật khác khi lưu trữ số thẻ tín dụng văn bản thuần tuý, nhưng việc lưu trữ mã thường không được thỏa thuận cụ thể của bạn. Bạn sẽ cần phải đọc của bạn để chắc chắn rằng bạn có thể làm điều đó.
Để lưu trữ số thẻ tín dụng, đó cũng thường là một ý tưởng rất tồi. Nếu cơ sở dữ liệu của bạn bị xâm phạm, bạn sẽ phải chịu trách nhiệm và bạn có thể mất nhiều tiền.
Trừ khi bạn có lý do rất tốt để lưu trữ số thẻ tín dụng và có một đội ngũ rất tốt làm việc về an ninh, tôi sẽ không khuyên bạn nên lưu trữ bất kỳ dữ liệu thẻ tín dụng.
Câu trả lời ngắn gọn, không, ý tưởng tồi. Bạn sẽ phải có rất nhiều cân nhắc rằng đó không phải là một ý tưởng hay. Đừng bận tâm rằng hầu hết các thỏa thuận sẽ không cho phép bạn.
Authorize.net (chỉ một ví dụ) sẽ lưu trữ thông tin thẻ tín dụng để bạn có thể thực hiện thanh toán lại. Đó là một hệ thống đơn giản hoạt động rất tốt và giải phóng bạn về bất kỳ mối quan ngại nào liên quan đến lưu trữ.
+1. Ý tưởng khủng khiếp, khủng khiếp để lưu trữ thông tin thẻ tín dụng TJX phải trả 10 triệu đô la vì cơ sở dữ liệu của họ bị tấn công. –
Mã CVV được sử dụng để xác minh rằng chủ thẻ có thẻ tại thời điểm giao dịch ban đầu. Khi bạn đã xác minh điều đó, bạn không cần nó nữa, vì vậy đừng lưu trữ nó.
Tất cả thỏa thuận tài khoản người bán mà tôi biết cụ thể nêu rõ rằng bạn KHÔNG được lưu trữ CVV. Đây là vì lý do bảo mật.
Sử dụng mã CVV trên mọi giao dịch tự động sẽ giống như nói rằng hệ thống tự động của bạn có thẻ thuộc sở hữu tại thời điểm giao dịch mà tôi đoán là không phải như vậy.
Bạn không cần nó khi bạn đã xác minh nó lần đầu tiên. Chắc chắn không lưu trữ nó.
Bạn không được phép lưu trữ số thẻ tín dụng bằng văn bản thuần túy.
Để @Jeff bạn nên lắng nghe. Nếu bạn định xử lý thẻ tín dụng, bạn nên (tôi nghĩ phải, nhưng IANAL) tuân thủ theo số Payment Card Industry Data Security Standard.
PCI-DSS (Tiêu chuẩn bảo mật dữ liệu ngành công nghiệp thẻ thanh toán) tuyệt đối nghiêm cấm các chi tiết thẻ được lưu vào đĩa ở dạng văn bản thuần túy. Hơn nữa, mã bảo mật thẻ 3 chữ số (4 chữ số trên Amex) không thể được lưu trữ sau ủy quyền, và lý tưởng bạn chỉ nên giữ nó trong bộ nhớ cho đến khi ủy quyền hoàn tất.
Trạng thái PCI bạn có thể lưu trữ tối đa sáu chữ số đầu tiên và bốn chữ số cuối cùng trong văn bản thuần túy. Các yêu cầu đối với biên lai đã in khác nhau, ở đó bạn chỉ có thể in bốn chữ số cuối cùng nhiều nhất.
PCI không dễ dàng hơn nhiều nếu bạn muốn thử và mã hóa chi tiết trước khi lưu giữ chúng. Bạn cần xem xét key management, key rotation, split keys.Ngoài ra, bạn cần phải trải qua yearly onsite audits qua bảo mật mạng nội bộ của mình và quarterly audits trong mạng công cộng của bạn. Chi phí ròng sẽ dễ dàng chạy vào hàng nghìn đô la.
Tóm lại. Thậm chí không nghĩ về nó!
PCI DSS cấm lưu trữ mã CVV (giả sử đó là ý của bạn là "mã bí mật"). – Jeff
@ Jff họ cho phép một số tình huống nếu bạn có thể chứng minh điều đó là bắt buộc. – Incognito
@user. Xin lỗi, nhưng bạn đã sai. Nó không thể được lưu trữ sau ủy quyền. Tôi đã làm việc để xây dựng hệ thống thanh toán tuân thủ PCI – PaulG