Tôi sắp kế thừa và làm việc trên một trang web bán lẻ doanh nghiệp nhỏ được thiết kế rất kém. Trong số những thứ khác, mối quan tâm lớn nhất là xử lý thẻ tín dụng hiện tại.Lưu trữ thẻ tín dụng trực tuyến?
Hiện tại, chủ sở hữu truy xuất thông tin thẻ tín dụng (tên, số, CVV2 và ngày hết hạn) từ biểu mẫu đặt hàng trực tuyến và lưu tất cả thông tin đó trong văn bản thuần trong cơ sở dữ liệu MySQL. Sau đó, thông báo sẽ được gửi tới email của anh ấy mà ai đó đã đặt hàng. Sau đó, anh ta có một trang quản trị ở mặt sau mà anh ta xem các đơn đặt hàng và thông tin thẻ tín dụng mà anh ta sử dụng để xử lý ngoại tuyến với thương gia của mình.
Sau khi truy xuất thông tin từ trang back-end, số thẻ tín dụng và CVV2 bị xóa ngay lập tức (tập lệnh PHP tự động được gọi). Thông tin cũng bị xóa nếu trang đó không được truy cập trong vòng 7 ngày. Vì vậy, có một tiềm năng cho tất cả các thông tin được trong cơ sở dữ liệu trong văn bản thuần trong bảy ngày trước khi xử lý giao dịch.
Điều này có vẻ không phải là thiết kế tốt và có thể là bất hợp pháp. Nếu nó là bất hợp pháp, tôi sẽ phải phá vỡ điều này với anh ta, bởi vì anh ta vẫn chưa nhận ra điều đó.
Câu hỏi của tôi: Ngoài việc không an toàn, điều này là bất hợp pháp hoặc vi phạm điều khoản sử dụng (PCI DSS)? Và, nếu vậy, làm thế nào tôi có thể chứng minh điều đó cho anh ta để anh ấy sẽ cho phép tôi thay đổi cách của anh ấy (rõ ràng, tôi không muốn đặt tay mình vào thứ gì đó bất hợp pháp. Ngoài ra, đôi khi từ ngữ của điều khoản sử dụng có thể có vẻ chủ quan)? Cuối cùng, các tùy chọn tốt nhất để khắc phục sự cố này (người bán trực tuyến của bên thứ ba, trở thành tuân thủ PCI DSS, hoặc điều gì khác) là gì?
Bạn ở quốc gia nào? –
Tôi đang ở Mỹ. –
Tôi đang bỏ phiếu để đóng câu hỏi này là chủ đề không chính vì đây là câu hỏi pháp lý, không phải là câu hỏi lập trình. – durron597