Trình xử lý thanh toán - Tôi cần biết điều gì nếu tôi muốn chấp nhận thẻ tín dụng trên trang web của mình?

Question

This question nói về các bộ xử lý thanh toán khác nhau và chi phí của chúng, nhưng tôi đang tìm câu trả lời cho những gì tôi cần làm nếu tôi muốn chấp nhận thanh toán bằng thẻ tín dụng?

Giả sử tôi cần lưu số thẻ tín dụng cho khách hàng, để giải pháp rõ ràng dựa vào bộ xử lý thẻ tín dụng để thực hiện việc nâng hạng nặng không có sẵn.

PCI Data Security, rõ ràng là tiêu chuẩn để lưu trữ thông tin thẻ tín dụng, có một loạt các yêu cầu chung, nhưng how does one implement them?

Và những gì về các nhà cung cấp, như Visa, những người có thực hành tốt nhất của riêng họ thì sao?

Tôi có cần có quyền truy cập keyfob vào máy không? Điều gì về thể chất bảo vệ nó khỏi tin tặc trong tòa nhà? Hoặc thậm chí những gì nếu ai đó có bàn tay của họ trên các tập tin sao lưu với các tập tin dữ liệu máy chủ sql trên đó?

Điều gì về bản sao lưu? Có các bản sao vật lý khác của dữ liệu đó xung quanh không?

Mẹo: If you get a merchant account, you should negotiate that they charge you "interchange-plus" instead of tiered pricing. Với giá theo cấp, họ sẽ tính các mức giá khác nhau dựa trên loại Visa/MC được sử dụng - nghĩa là. họ tính phí bạn nhiều hơn cho các thẻ có phần thưởng lớn gắn liền với chúng. Trao đổi cộng với thanh toán có nghĩa là bạn chỉ thanh toán cho bộ xử lý những gì Visa/MC tính phí, cộng với phí cố định. (Amex và Discover tính cước phí của họ trực tiếp cho các thương gia, vì vậy điều này không áp dụng cho các thẻ đó. Bạn sẽ thấy tỷ giá Amex nằm trong phạm vi 3% và Discover có thể thấp tới 1%. Visa/MC đang ở phạm vi 2%). This service is supposed to do the negotiation for you (Tôi chưa sử dụng, đây không phải là quảng cáo và tôi không liên kết với trang web, nhưng dịch vụ này là rất cần thiết.)

Bài đăng trên blog này cung cấp complete rundown of handling credit cards (dành riêng cho Vương quốc Anh) .

---

Có lẽ tôi phrased câu hỏi sai, nhưng tôi đang tìm lời khuyên như thế này:

1. Sử dụng SecurID hay eToken để thêm một lớp mật khẩu bổ sung vào hộp vật lý.
2. Đảm bảo rằng hộp nằm trong phòng có khóa kết hợp khóa hoặc khóa vật lý.

Answer 1

Tôi đã trải qua quá trình này cách đây không lâu với một công ty tôi làm việc và tôi dự định sẽ sớm trải qua công việc kinh doanh của riêng tôi. Nếu bạn có một số kiến ​​thức kỹ thuật mạng, nó thực sự không phải là xấu. Nếu không, bạn sẽ tốt hơn khi sử dụng Paypal hoặc một loại dịch vụ khác.

Quá trình bắt đầu bằng cách thiết lập merchant account và được liên kết với tài khoản ngân hàng của bạn. Bạn có thể muốn kiểm tra với ngân hàng của bạn, bởi vì rất nhiều ngân hàng lớn cung cấp dịch vụ cho người bán. Bạn có thể nhận được giao dịch, bởi vì bạn đã là khách hàng của họ, nhưng nếu không, thì bạn có thể mua sắm xung quanh. Nếu bạn dự định chấp nhận Discover hoặc American Express, những dịch vụ này sẽ được tách biệt, vì chúng cung cấp dịch vụ người bán cho thẻ của họ, không nhận được thông tin này. Có những trường hợp đặc biệt khác nữa. Đây là một quy trình nộp đơn, được chuẩn bị.

Tiếp theo, bạn sẽ muốn mua chứng chỉ SSL SSL mà bạn có thể sử dụng để bảo vệ thông tin liên lạc của mình khi thông tin thẻ tín dụng được truyền qua mạng công cộng. Có rất nhiều nhà cung cấp, nhưng quy tắc của tôi là chọn một thương hiệu theo cách nào đó. Họ càng biết rõ, khách hàng của bạn càng có thể nghe về họ.

Tiếp theo, bạn sẽ muốn tìm một số payment gateway để sử dụng với trang web của mình. Mặc dù điều này có thể là tùy chọn tùy thuộc vào bạn lớn như thế nào, nhưng phần lớn thời gian nó sẽ không được. Bạn sẽ cần một cái. Các nhà cung cấp cổng thanh toán cung cấp một cách để nói chuyện với API Internet Gateway mà bạn sẽ liên lạc. Hầu hết các nhà cung cấp cung cấp giao tiếp HTTP hoặc TCP/IP với API của họ. Họ sẽ xử lý thông tin thẻ tín dụng nhân danh bạn. Hai nhà cung cấp là Authorize.Net và PayFlow Pro. Liên kết tôi cung cấp bên dưới có thêm thông tin về các nhà cung cấp khác.

Bây giờ làm gì? Đối với người mới bắt đầu có những hướng dẫn về những gì ứng dụng của bạn phải tuân thủ để truyền các giao dịch. Trong quá trình thiết lập mọi thứ, ai đó sẽ xem trang web hoặc ứng dụng của bạn và đảm bảo bạn tuân thủ nguyên tắc, như sử dụng SSL và bạn có điều khoản sử dụng và tài liệu chính sách về thông tin mà người dùng đang cung cấp cho bạn cho. Đừng đánh cắp nó từ một trang khác. Hãy đến với riêng bạn, thuê một luật sư nếu bạn cần. Hầu hết những thứ này đều nằm trong liên kết bảo mật dữ liệu PCI mà Michael cung cấp trong câu hỏi của anh.

Nếu bạn dự định lưu trữ số thẻ tín dụng, thì bạn nên chuẩn bị sẵn sàng để đặt một số biện pháp bảo mật tại chỗ để bảo vệ thông tin. Đảm bảo rằng máy chủ lưu trữ thông tin trên chỉ có thể truy cập được đối với các thành viên cần có quyền truy cập. Giống như bất kỳ bảo mật tốt, bạn làm mọi thứ trong lớp. Bạn càng đặt càng nhiều lớp càng tốt. Nếu bạn muốn, bạn có thể sử dụng bảo mật kiểu khóa fob, như SecureID hoặc eToken để bảo vệ phòng máy chủ. Nếu bạn không đủ khả năng với tuyến fob chính, thì hãy sử dụng hai phương pháp chính. Cho phép một người có quyền truy cập vào phòng để đăng xuất một chìa khóa, mà đi cùng với một chìa khóa mà họ đã thực hiện. Họ sẽ cần cả hai chìa khóa để vào phòng.Tiếp theo bạn bảo vệ giao tiếp với máy chủ bằng chính sách. Chính sách của tôi là điều duy nhất liên lạc với nó qua mạng là ứng dụng và thông tin đó được mã hóa. Không thể truy cập máy chủ ở bất kỳ biểu mẫu nào khác. Để sao lưu, tôi sử dụng truecrypt để mã hóa các tập sao lưu sẽ được lưu vào. Bất cứ khi nào dữ liệu được xóa hoặc lưu trữ ở nơi khác, sau đó một lần nữa bạn sử dụng truecrypt để mã hóa khối lượng dữ liệu được bật. Về cơ bản, nơi dữ liệu là, nó cần phải được mã hóa. Đảm bảo tất cả các quy trình nhận dữ liệu đều mang theo các đường mòn kiểm tra. sử dụng nhật ký để truy cập vào phòng máy chủ, sử dụng máy ảnh nếu bạn có thể, vv ... Một biện pháp khác là mã hóa thông tin thẻ tín dụng trong cơ sở dữ liệu. Điều này đảm bảo rằng dữ liệu chỉ có thể được xem trong ứng dụng của bạn, nơi bạn có thể thực thi những người xem thông tin.

Tôi sử dụng pfsense cho tường lửa của mình. Tôi chạy nó ra một thẻ flash nhỏ gọn và có hai máy chủ thiết lập. Một là cho thất bại hơn cho dự phòng.

Tôi tìm thấy điều này blog post bởi Rick Strahl đã giúp rất nhiều việc hiểu thương mại điện tử và những gì nó cần để chấp nhận thẻ tín dụng thông qua một ứng dụng web.

Vâng, điều này hóa ra lại là câu trả lời dài. Mình hy vọng rằng những mẹo này sẽ có ích.

Answer 2

Có rất nhiều thứ cho toàn bộ quá trình. Cách đơn giản nhất để làm điều đó là sử dụng các dịch vụ tương tự như paypal, để bạn không bao giờ thực sự xử lý bất kỳ dữ liệu thẻ tín dụng nào. Ngoài ra, có khá nhiều thứ cần phải trải qua để được chấp thuận cung cấp dịch vụ thẻ tín dụng trên trang web của bạn. Có thể bạn nên nói chuyện với ngân hàng của mình và những người phát hành ID người bán của bạn để giúp bạn thiết lập quy trình.

Answer 3

Khi những người khác đã đề cập cách dễ nhất vào khu vực này là sử dụng Paypal, Google checkout hoặc Nochex. Tuy nhiên, nếu bạn có ý định kinh doanh đáng kể, bạn có thể muốn tra cứu "nâng cấp" lên các dịch vụ tích hợp trang web cấp cao hơn như WorldPay, NetBanx (UK) hoặc Neteller (US). Tất cả các dịch vụ này đều dễ thiết lập. Và tôi biết rằng Netbanx cung cấp sự tích hợp thuận tiện vào một số giải pháp mua hàng trong giỏ hàng như Intershop (vì tôi đã viết một số trong số đó).Ngoài ra, bạn đang xem xét tích hợp trực tiếp với hệ thống ngân hàng (và hệ thống APAX của họ) nhưng điều đó cũng khó và tại thời điểm đó bạn cũng cần chứng minh cho các công ty thẻ tín dụng rằng bạn đang xử lý số thẻ tín dụng một cách an toàn (có lẽ không đáng xem xét nếu bạn không nhận giá trị $ 100k mỗi tháng).

Làm việc từ 1 đến cuối chi phí/lợi ích là các tùy chọn sớm dễ dàng hơn (nhanh hơn/rẻ hơn) để thiết lập giúp bạn trả phí xử lý khá cao cho mỗi giao dịch. những cái sau này tốn kém hơn nhiều để thiết lập nhưng bạn trả ít hơn trong thời gian dài.

Ưu điểm khác của hầu hết các giải pháp không chuyên dụng là bạn không cần phải giữ số thẻ tín dụng được mã hóa an toàn. Đó là vấn đề của người khác :-)

Answer 4

Tự hỏi mình câu hỏi sau: tại sao bạn muốn lưu trữ số thẻ tín dụng ở địa điểm đầu tiên? Rất có thể là bạn không. Thực tế, nếu bạn làm lưu trữ chúng và quản lý để bị đánh cắp, bạn có thể xem xét một số trách nhiệm pháp lý nghiêm trọng.

Tôi đã viết một ứng dụng lưu trữ số thẻ tín dụng (vì các giao dịch đã được xử lý ngoại tuyến). Dưới đây là một cách hay để thực hiện:

• Nhận chứng chỉ SSL!
• Tạo biểu mẫu để nhận CC# từ người dùng.
• Mã hóa một phần (không phải tất cả!) Của CC# và lưu trữ nó trong cơ sở dữ liệu của bạn. (Tôi muốn đề nghị 8 chữ số ở giữa.) Sử dụng phương thức mã hóa mạnh và khóa bí mật.
• Gửi phần còn lại của CC# cho bất kỳ ai xử lý các giao dịch của bạn (có thể là chính bạn) với ID của người đó để xử lý.
• Khi bạn đăng nhập sau, bạn sẽ nhập ID và phần gửi thư của CC#. Hệ thống của bạn có thể giải mã phần còn lại và kết hợp lại để có được số đầy đủ để bạn có thể xử lý giao dịch.
• Cuối cùng, xóa bản ghi trực tuyến. Giải pháp hoang tưởng của tôi là ghi đè lên bản ghi với dữ liệu ngẫu nhiên trước khi xóa, để loại bỏ khả năng hủy bỏ.

Điều này nghe có vẻ như rất nhiều công việc, nhưng không bao giờ ghi CC hoàn chỉnh ở bất cứ nơi nào, bạn sẽ vô cùng khó khăn để hacker tìm thấy bất kỳ giá trị nào trên máy chủ web của bạn. Tin tôi đi, nó đáng được an tâm.

Answer 5

Tài liệu PCI 1.2 vừa xuất hiện. Nó cung cấp cho một quá trình để làm thế nào để thực hiện PCI tuân thủ cùng với các yêu cầu. Bạn có thể tìm thấy đầy đủ doc ở đây:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

câu chuyện dài ngắn, tạo ra một phân đoạn mạng riêng cho bất cứ máy chủ sẽ được dành riêng để lưu trữ thông tin CC (thường là DB server (s)). Cô lập dữ liệu càng nhiều càng tốt, và đảm bảo chỉ truy cập tối thiểu cần thiết để truy cập dữ liệu có mặt. Mã hóa nó khi bạn lưu trữ nó. Không bao giờ lưu trữ PAN. Xóa dữ liệu cũ và xoay các khóa mã hóa của bạn.

Ví dụ Không nên:

• Đừng để cùng một tài khoản có thể tra cứu thông tin chung trong cơ sở dữ liệu tra cứu thông tin CC.
• Đừng giữ cơ sở dữ liệu CC của bạn trên cùng một máy chủ vật lý với máy chủ web của bạn.
• Không cho phép lưu lượng truy cập bên ngoài (Internet) vào phân đoạn mạng cơ sở dữ liệu CC của bạn.

Ví dụ Dos:

• Sử dụng tài khoản cơ sở dữ liệu riêng biệt để truy vấn thông tin CC.
• Không cho phép tất cả trừ lưu lượng truy cập bắt buộc đối với máy chủ cơ sở dữ liệu CC qua tường lửa/danh sách truy cập
• Hạn chế quyền truy cập vào máy chủ CC cho một nhóm người dùng được ủy quyền hạn chế.

Answer 6

Tôi muốn thêm một bình luận phi kỹ thuật mà bạn có thể muốn suy nghĩ về

Một số khách hàng của tôi chạy các trang web thương mại điện tử, trong đó có một vài người có cửa hàng khá lớn. Cả hai, trong khi họ chắc chắn có thể thực hiện một cổng thanh toán chọn không quá, họ lấy số cc, lưu trữ nó tạm thời được mã hóa trực tuyến và xử lý nó bằng tay.

Họ làm điều này vì tỷ lệ gian lận cao và xử lý thủ công cho phép họ thực hiện kiểm tra bổ sung trước khi thực hiện đơn hàng. Tôi nói rằng họ từ chối hơn 20% tất cả các giao dịch của họ - việc xử lý thủ công chắc chắn mất thêm thời gian và trong một trường hợp họ có một nhân viên không làm gì ngoài xử lý giao dịch, nhưng chi phí trả lương của anh ta dường như ít hơn tiếp xúc nếu họ chỉ thông qua số cc mặc dù một cổng trực tuyến.

Cả hai khách hàng này đều cung cấp hàng hóa vật lý với giá trị bán lại, do đó đặc biệt được phơi bày và các mặt hàng như phần mềm, nơi bán hàng gian lận sẽ không làm giảm số dặm thực tế của bạn. của một cổng trực tuyến nếu thực hiện như vậy thực sự là những gì bạn muốn.

EDIT: Và kể từ khi tạo câu trả lời này, tôi muốn thêm một câu chuyện cảnh báo và nói rằng thời gian đã qua khi đây là một ý tưởng hay.

Tại sao? Bởi vì tôi biết một người liên lạc khác đang dùng cách tiếp cận tương tự. Chi tiết thẻ đã được mã hóa, trang web đã được truy cập bằng SSL và các số đã bị xóa ngay lập tức sau khi xử lý. An toàn bạn nghĩ?

Không có máy nào trong mạng của họ bị nhiễm Trojan. Kết quả là họ đã được xác định là nguồn gốc cho một số giả mạo thẻ tín dụng điểm số - và do đó bị ảnh hưởng bởi tiền phạt lớn.

Do đó, hiện tại, không bao giờ khuyên mọi người tự xử lý thẻ tín dụng. Các cổng thanh toán đã trở nên cạnh tranh hơn và hiệu quả về chi phí, và các biện pháp gian lận đã được cải thiện. Nguy cơ bây giờ không còn giá trị nữa.

Tôi có thể xóa câu trả lời này, nhưng tôi nghĩ tốt nhất nên bỏ qua để chỉnh sửa làm câu chuyện cảnh báo.

Answer 7

Tại sao phải tuân thủ PCI? Tốt nhất, bạn sẽ tiết kiệm một phần nhỏ của chi phí xử lý.Đây là một trong những trường hợp mà bạn phải chắc chắn đây là những gì bạn muốn làm với thời gian của bạn cả hai trả trước trong phát triển và theo thời gian trong việc theo kịp với các yêu cầu mới nhất.

Trong trường hợp của chúng tôi, có ý nghĩa nhất khi sử dụng cổng đăng ký-savy và ghép nối với tài khoản người bán. Cổng thuê bao-savy cho phép bạn bỏ qua tất cả sự tuân thủ PCI và không làm gì hơn là xử lý giao dịch thích hợp.

Chúng tôi sử dụng TrustCommerce làm cổng của chúng tôi và hài lòng với dịch vụ/giá của họ. Họ có mã cho một loạt các ngôn ngữ mà làm cho hội nhập khá dễ dàng.

Answer 8

Hãy chắc chắn để có được một xử lý về công việc bổ sung và ngân sách cần thiết cho PCI. PCI có thể yêu cầu phí kiểm toán bên ngoài rất lớn và nỗ lực/hỗ trợ nội bộ. Cũng nên biết về tiền phạt/hình phạt có thể được đơn phương thu về bạn, thường cực kỳ không tương xứng với quy mô của 'ofense'.

Answer 9

Hãy nhớ rằng việc sử dụng SSL để gửi số thẻ từ trình duyệt đến máy chủ giống như bao gồm số thẻ tín dụng bằng ngón tay cái khi bạn giao thẻ cho người thu ngân trong nhà hàng: ngón tay cái (SSL) của bạn ngăn khách hàng trong nhà hàng (Net) không nhìn thấy thẻ, nhưng một khi thẻ nằm trong tay của thủ quỹ (máy chủ web) thẻ không còn được bảo vệ bởi trao đổi SSL nữa, và nhân viên thu ngân có thể làm bất cứ điều gì với thẻ đó . Quyền truy cập vào số thẻ đã lưu chỉ có thể bị dừng bởi bảo mật trên máy chủ web. Tức là, hầu hết các vụ trộm thẻ trên mạng không được thực hiện trong quá trình truyền, chúng được thực hiện bằng cách phá vỡ bảo mật máy chủ kém và ăn cắp cơ sở dữ liệu.