Die Speicherung Von Kreditkartendaten
So, ich weiß es gibt zahlreiche Beiträge über die Speicherung von Kreditkarten-Informationen. Wir bauen eine mobile Anwendung und möchten den Leuten die Möglichkeit zu geben in Ihrer Karte Informationen einmal, nicht bei jedem Kauf.
Schauten wir uns Authorize.net CIM, und es scheint eine ideale Lösung (die wir gerade speichern einer Profil-ID oder Token zurückgibt, die Nummer der Kreditkarte)... aber es könnte kurz, unsere Bedürfnisse, da die Kreditkartendaten nicht verarbeitet werden (notwendigerweise) durch authorize.net aber von was auch immer die Händler-Konto, senden wir die Zahlung auch. In anderen Worten, wir möchten, speichern Sie die Kreditkartendaten, wie eine Brieftasche... nicht unbedingt Prozess mit Authorize.net jedes mal, wenn.
Lesen der CIM-XML-Dokumentation (p.94), es sieht aus wie die getCustomerPaymentProfileResponse Masken, die Kreditkarte, die Daten zurückgeben... also ich sehe nicht, wie das wäre nützlich für die Verarbeitung, wenn die Daten "maskiert"?
Haben wir einige andere Optionen für die Umsetzung, aber ich war wirklich gehofft, um eine web-basierte Möglichkeit für Kunden zur Verwaltung Ihrer Zahlung Konten. Kennt jemand irgendwelche Möglichkeiten, um zu speichern Kreditkarten-Daten, die aufgerufen werden können-on-demand übergeben werden, zu einem bestimmten Großhändler Prozessor?
BEARBEITEN 4.28.2011 - ich bin gegen eine Wand mit dieser. Was, wenn wir nicht speichern Kreditkarten-Informationen an alle, müssen Kunden geben Sie es und übergeben Sie es... wie stellen wir das sicher? Ohne es zu speichern, weitergeben und die HTTPS-Karte verschlüsseln Daten während der übertragung?
- Ja, ich Stimme zu das Sony Ding war sehr zeitnah. Ich habe keine Lust, die Informationen zu speichern in unseren Datenbanken.... Weg zu riskant IMO.
- Nur ein Vorschlag. NICHT speichern diese Informationen auf dem Telefon selbst. Wenn Sie speichern Sie Sie auf einer website, damit Ihre Kunden verwalten können, ein Kundenprofil werden Sie sicher, dass Sie investieren in SSL Zertifikat. Ich würde selbst gehen, als nur das sammeln was man so braucht, was passieren Sony nicht passiert in Ihrem Unternehmen.
- Zu deiner Frage, ich würde einfach Kontaktieren Authorize.net support-Mitarbeiter, um ehrlich zu sein. Was Sie nicht wollen, zu tun ist, speichern Sie die vollständige Kreditkarten-Informationen, wenn Sie zu haben. Werden Sie sicher, dass die Kunden nur die Wahl zwischen dem speichern der Informationen. Ich dachte immer, dass die meisten Anbieter einfach gespeichert Autorisierungsnummer beim Umgang mit dieser Art von Informationen, die nach der ersten Transaktion.
- Ja, das problem ist, dass wir gehen, um die Integration mit verschiedenen Anbietern.... hängt wirklich davon ab, wo die app verwendet wird. Also ich muss echt nur den storage-Teil, nicht der Verarbeitung Teil.
- Wenn es nach mir ginge, ich würde die Arbeit mit Ihrem Prozessor. Zum Beispiel, die Authorize.net die Lösung klingt ideal, wenn Sie verarbeitet durch Sie. Und dein Prozessor kann spezifische Anforderungen an diese. Also würde ich mit Ihnen Kontakt aufnehmen.
- Leider, das funktioniert nicht mit unserem business-Modell, es sei denn, wir bewahren unsere Kunden Kreditkartendaten in jeder denkbaren Prozessor... und selbst dann weiß ich nicht, ob das funktioniert, da wir nicht einmal die Hauptverantwortung für die Konten
Du musst angemeldet sein, um einen Kommentar abzugeben.
Leider gibt es keine einfache Möglichkeit, dies zu erreichen.
Wie Sie wissen, Payment Service Provider sicher speichern die Daten der Kreditkarte ein, und geben Sie einen token-id (so dass Sie verweisen können, um diese details), aber Sie können nie wieder die original-Karte, details zu Ihnen zurück.
Dies ist, weil die PSP gebracht haben wird durch die PCI-DSS-compliance. Teil der compliance ist sicherstellt, dass überall die Kreditkarten-Daten werden weitergegeben (z.B. zu anderen 3rd-Partys) ist auch PCI-DSS-konform. Wenn Sie zulassen, dass Kreditkarten-Daten zurückgegeben werden, von der Wölbung an den client, dann würden Sie brauchen, um sicherzustellen, dass die client ist auch die PCI-DSS-konform (das wäre ziemlich viel besiegen den Punkt der client mit einem Payment-Service-Provider!).
Ihre Optionen sind daher:
- Arbeiten Sie durch die PCI-DSS-compliance, so dass Sie können speichern die Kartendaten sicher selbst.
- Speichern Sie die Karte details zu jedem Payment-Service-Provider, die Sie interagieren mit, und speichern Sie das zurückgegebene Token von jeder.
Streifen soetwas macht. Sie verarbeiten die Daten der Kreditkarte, ohne dass Sie jemals benötigen, speichern Sie und geben Sie wieder ein token repräsentiert die Kreditkarte, die Sie dann:
Gibt es eine gute RailsCast auf die Abrechnung mit den Streifen, lohnt sich. Sehr Entwickler-freundlich.
Bearbeiten
Ich habe gerade realisiert Authorize.Net CIM ist eine Art von tokenization service. Also bist du wahrscheinlich wissen die meisten von diesem. Ich lasse den post hier, obwohl es vielleicht sinnvoll für jemand anderes.
Wenn dieser Händler/Verkäufer bereit sind, zu ändern, deren API, ich würde schauen in die Karte tokenization. Es ist ein feature von einigen Prozessoren, mit der Sie transact Zahlungen ohne Karte Anzahl. Die Funktionsweise ist auf die erste Transaktion der Benutzer die Hände, Ihr Karte info an den Prozessor, der dann auch wieder ein token an die Händler, die eindeutig identifiziert, die Daten des Karteninhabers für die user & merchant, und die Karte Benutzer-Daten gespeichert ist, intern durch den Prozessor.
Könnte man dann speichern Sie diese Platzhalter und geben Sie den Kreditor Anwendungen, die Sie wiederum mit der Abwicklung. Ich nehme an, diesen Token eindeutig einem bestimmten Händler, so würden Sie wahrscheinlich haben, zu speichern 1 token pro Lieferant/Händler für einen bestimmten Benutzer.
Gibt es vielleicht eine Regel, wo der Verkäufer/Händler kann nicht proxy-Token oder sonst bekommen Sie von einem Dritten. Wenn das der Fall ist, Ihre Lieferanten liefern könnte eine neue token/guid ordnet die token, die Sie speichern intern für die Verwendung mit Ihrer Karte-Prozessor...
Google - Kreditkarte tokenization
PCI-Standards
PCI-DSS ist kein Witz, und während diese Händler/Hersteller nicht technisch offenlegen müssen, um Ihren Prozessor, die Ihre Anwendung ist die Speicherung von Karten-Nummern, aber wenn Sie es tun offenlegen, könnte es chaotisch. Zwei Dinge könnten passieren: