การจัดเก็บรายละเอียดบัตรเครดิต


60

ฉันต้องจัดเก็บหมายเลขบัตรเครดิตสำหรับการเรียกเก็บเงินเป็นประจำผ่านผู้ขายบุคคลที่สามของเรา

มีมาตรฐานใดบ้างที่ฉันต้องยึดถือในการจัดเก็บรายละเอียด? เรารับบัตรเครดิตมาหลายปีแล้ว แต่เราก็ทิ้งรายละเอียดของพวกเขาทันทีที่ทำเสร็จ ลูกค้าของเราร้องขอให้เราจัดเก็บรายละเอียดเพื่อไม่ต้องชำระค่าสมัครด้วยตนเองในแต่ละเดือน

การย้ายไปยัง PayPal เพื่อใช้ประโยชน์จากการสมัครสมาชิกของพวกเขาไม่ใช่ตัวเลือก เราต้องเก็บพวกมันและฉันต้องแน่ใจว่าที่เก็บปลอดภัย!

เราใช้ MSSQL 2005 สำหรับข้อมูลของเราและทุกอย่างเป็น SSL'd แล้ว

คำตอบ:


86

คุณจะต้องปฏิบัติตาม (ตัวอักษร) และควรเกินPCI DSSมาตรฐาน นี่ไม่ใช่เรื่องง่ายที่จะทำสำเร็จและไม่ควรทำอย่างสำคัญ

ฉันขอแนะนำให้คุณค้นหาโปรเซสเซอร์บุคคลที่สามที่สามารถจัดการสิ่งนี้ให้คุณและรวมเข้ากับระบบการเรียกเก็บเงินของคุณ มันไปได้มากกว่าแค่การมี SSL และการเข้ารหัสข้อมูลในฐานข้อมูล คุณต้องตรวจสอบการเข้าถึงตรวจจับการบุกรุกมีระบบในสถานที่ที่สามารถแจ้งเตือนผู้ที่ได้รับผลกระทบในกรณีที่มีการฝ่าฝืนเท่านั้น (และกำหนดว่าข้อมูลใดบ้างที่อาจถูกบุกรุก) เป็นต้น

จากนั้นจะมีการเข้าถึงเซิร์ฟเวอร์เครือข่ายและอื่น ๆ ซึ่งหมายความว่าตู้ที่ถูกล็อคซึ่งไม่ได้แชร์บนเซิร์ฟเวอร์ที่คุณเป็นเจ้าของซึ่ง LAN ทางกายภาพได้รับการป้องกันด้วย การปฏิบัติตามกฎระเบียบจะไม่ถูกหรือง่าย

จริง ๆ ใช้ความพยายามทุกวิถีทางที่เป็นไปได้เพื่อถ่ายสิ่งนี้ให้กับบุคคลที่สาม ความรับผิดเพียงอย่างเดียวนั้นไม่คุ้มกับความเสี่ยงเว้นแต่ว่าคุณกำลังพูดถึงธุรกรรมที่มีมูลค่านับแสน (ใส่สกุลเงินของคุณที่นี่) รายเดือน ในกรณีดังกล่าวค่าธรรมเนียมที่คุณประหยัดอาจแสดงให้เห็นถึงความสามารถที่จำเป็นในการติดตั้งและตรวจสอบระบบที่เก็บข้อมูล คุณจะต้องการ:

  • โปรแกรมเมอร์ระบบ (คุณจะต้องใช้เคอร์เนลและระบบตรวจสอบตะขอระดับไฟล์)
  • IDS / IPS gurus (ยกเว้นกรณีที่คุณรักการล็อคอินของผู้ขาย)
  • เจ้าหน้าที่ 24/7/365 เพื่อตรวจสอบการแจ้งเตือนที่สร้างขึ้นจากระบบที่ผู้เชี่ยวชาญออกแบบ คนเหล่านี้ไม่ถูกพวกเขาตัดสินใจที่จะดึงปลั๊กการเรียกเก็บเงินหรือรายงานข้อบกพร่องในอัลกอริทึมที่คุณใช้

และจากนั้นอีกครั้งคุณสามารถถ่ายโอนสิ่งเหล่านี้ทั้งหมดไปยังบุคคลที่สามได้ในราคาถูก


อืมเรามีมาแล้วครึ่งทางแล้วเพราะเราจัดการกับข้อมูลที่ละเอียดอ่อนในนามลูกค้าของเรา (เซิร์ฟเวอร์ที่ถูกล็อคและการตรวจจับการบุกรุกและ IPSec บน DMZ มีอยู่แล้ว) ฉันจะอ่านดีขอบคุณ
Mark Henderson

@Farseeker - นอกเหนือจากการป้องกันการเข้าถึงที่ผิดกฎหมายส่วนที่สำคัญที่สุดคือการตรวจจับและค้นหาสิ่งที่อาจถูกบุกรุกและผู้ที่ต้องได้รับการแจ้งเตือนอย่างรวดเร็ว หมายเหตุนี้จะรวมถึงการคัดลอกไฟล์ที่สำรองฐานข้อมูลโดยไม่ได้รับอนุญาตเช่นกัน
Tim Post

5
ความจริงที่ว่าคุณกำลังจัดการข้อมูลบัตรเครดิตตอนนี้แม้ว่าคุณจะไม่ได้จัดเก็บข้อมูลอย่างถาวรหมายความว่าคุณต้องปฏิบัติตาม PCI DSS
Stephen Jennings

@Stephen - การจัดการและจัดเก็บเป็นสิ่งที่แยกจากกันอย่างสมบูรณ์เมื่อมาถึง PCI การจัดการหมายถึงการโพสต์ข้อมูลบางอย่างไปยังเกตเวย์และรอการตอบกลับ การจัดเก็บเป็นเวิร์มกระป๋องที่เป็นเอกลักษณ์ของตนเอง
Tim Post

ข้อกำหนด PCI DSS 3.2 ระบุว่าไม่สามารถจัดเก็บรหัสการติดตามและการตรวจสอบหลังจากการอนุญาตแม้ว่าจะถูกเข้ารหัสและรวมถึงบันทึกทั้งหมดรวมถึงบันทึกธุรกรรมสำหรับฐานข้อมูล
Leigh Riffel

23

มันไม่เป็นความคิดที่ดีที่จะเก็บรายละเอียดบัตรเครดิตที่เคย คุณเพียงแค่ตั้งค่าเองสำหรับช่วงฤดูใบไม้ร่วงช่องทางการชำระเงินที่เหมาะสมจะช่วยให้คุณทำธุรกรรมที่เกิดขึ้นซ้ำด้วยโทเค็นที่คุณไม่ต้องเก็บรายละเอียดบัตรเครดิต


3
+1 สำหรับแนวคิดที่จะไม่เก็บ CC ในฐานข้อมูลของคุณ ผู้ให้บริการการชำระเงินของเราเก็บข้อมูลทั้งหมดในขณะนี้ซึ่งเป็นการบรรเทาความเสี่ยงด้านความปลอดภัยของเราอย่างมาก
Milner

ตัวอย่างเช่นข้อเสนอหนึ่งอย่าง ได้แก่ Authorize.net Customer Information Manager (CIM) authorize.net/solutions/merchantsolutions/merchantservices/cimและเนื่องจากการเรียกเก็บเงินที่เกิดซ้ำได้ถูกกล่าวถึง Automated Recurring Billing (ARB) authorize.net/solutions/merchantsolices/merchantsolices/ …คุณสามารถเก็บพวกมันได้ แต่มันจะไม่ปลอดภัย ในที่สุดคุณจะต้องจ่ายเกี่ยวกับบริการที่จะทำให้คุณเสียชื่อเสียงเสียการขายค่าปรับจากโปรเซสเซอร์และการดำเนินคดีใด ๆ ที่มาจากการประนีประนอมข้อมูล
Fiasco Labs

13

คำตอบมากมายที่คุณค้นหาสามารถดูได้ที่เว็บไซต์คู่มือการปฏิบัติตามมาตรฐานอุตสาหกรรมบัตรชำระเงิน หน้าลิงค์ของพวกเขามีประโยชน์อย่างยิ่ง

คำแนะนำที่ดีที่สุดคือให้บุคคลที่สามจัดการพื้นที่เก็บข้อมูลนี้


ฉันได้เห็นสิ่ง PCI นี้ถูกโยนไปรอบสองสามปีแล้วไม่เคยมีความคิดใด ๆ ว่ามันคืออะไร ขอบคุณ
Mark Henderson

8

ผู้ขายบุคคลที่สามของคุณไม่รวมตัวเลือกสำหรับการชำระเงินด้วยบัตรเครดิตอย่างต่อเนื่องซึ่งส่วนใหญ่อยู่ในสหราชอาณาจักรอย่างแน่นอน (DataCash, RBS World Pay ฯลฯ )

โดยทั่วไปคุณส่งรายละเอียดบัตรให้พวกเขาหนึ่งครั้งพร้อมกับขอหน่วยงาน CCC (ซึ่งหากฉันจำได้อย่างถูกต้องจะต้องรวมตารางเวลาที่คาดหวังและจำนวนเงินปกติ) จากนั้นคุณจะได้รับโทเค็นกลับมาจากพวกเขา จากนั้นทุกเดือน / ทุกสิ่งที่คุณสำรวจร้านค้าด้วยโทเค็นและพวกเขาดำเนินการธุรกรรมที่ตามมาสำหรับคุณ - นอกจากนี้ยังมีสิ่งอำนวยความสะดวกในการตั้งค่าเหล่านี้สำหรับคำขอแบบแปรผัน ความต้องการหลักในตอนท้ายของคุณคือการแจ้งลูกค้า (ปกติอย่างน้อย 10 วัน) ก่อนการชำระเงิน

ด้วยวิธีนี้คุณไม่ได้เก็บรายละเอียด CC ทุกที่นั่นคือทั้งหมดที่ถูกจัดการโดยคนที่มีคุณสมบัติตรงตามข้อกำหนด

วิธีนี้คล้ายกับการอนุมัติล่วงหน้าบนการ์ดดังนั้นคุณไม่ควรต้องเก็บบัตรเครดิตเพียงแค่โทเค็นจาก Merchant ที่คุณสามารถโทรได้ตามต้องการ


4

เราต้องเก็บพวกมันและฉันต้องแน่ใจว่าที่เก็บปลอดภัย!

คำถามเดียว: ทำไม

ฉันแค่ถามอย่างนั้นเพราะฉันต้องจัดการกับ PCI ด้วยตัวเองและการติดตามมันเป็นความเจ็บปวด แม้ว่างานประจำวันของฉันทำให้เรามีคุณสมบัติเป็นรุ่งที่สุดต่ำสุดสำหรับการปฏิบัติตาม PCI แต่ก็ยังมีอีกมากที่ต้องทำ การเข้ารหัส, ข้อควรพิจารณาเกี่ยวกับสิทธิพิเศษ, ความปลอดภัยของระบบปฏิบัติการเซิร์ฟเวอร์, ความปลอดภัยเครือข่ายภายใน, การรักษาความปลอดภัยชายแดน, การตรวจสอบบุคคลที่สาม ... มันเป็นเรื่องที่ต้องติดตามเสมอ และนั่นคือแม้กับเราไม่ได้เก็บข้อมูลบัตรเครดิต!

(Sidenote: หากคุณกำลังทำอีคอมเมิร์ซคุณจะต้องเป็นไปตาม PCI แม้ว่าคุณจะไม่ได้เก็บข้อมูล CC หากคุณไม่ได้ร้องเรียนตอนนี้ให้พิจารณาว่าตัวเองโชคดีที่ยังไม่ได้กัดคุณ)

ดูว่าตัวประมวลผลของคุณจัดการกับมันอย่างไร เราใช้ Authorize.net และพวกเขามี API ที่ยอดเยี่ยมเพื่อให้เราสามารถสร้างส่วนหน้าของเราเอง แต่พวกเขาดูแลการจัดเก็บและจัดการกับการชำระเงินจริง หากเราต้องการตั้งค่าการเรียกเก็บเงินซ้ำอีกครั้งพวกเขามีระบบในการจัดเก็บข้อมูล สุจริตฉันเชื่อใจพวกเขามากกว่าที่ฉันไว้ใจตัวเอง


4

ตามที่คนอื่นพูดถึงคุณกำลังมองหา PCI-DSS เช่นเดียวกับคนอื่น ๆ ที่กล่าวถึงการปฏิบัติตามมีแนวโน้มที่จะมีราคาแพงสำหรับเว็บไซต์ขนาดเล็ก

การย้ายไปยัง PayPal เพื่อใช้ประโยชน์จากการสมัครสมาชิกของพวกเขาไม่ใช่ตัวเลือก เราต้องเก็บพวกมันและฉันต้องแน่ใจว่าที่เก็บปลอดภัย!

คุณสามารถจัดเก็บ ID ที่ระบุข้อมูลบัตรเครดิตของลูกค้าในเกตเวย์การชำระเงินของคุณ ฉันไม่แน่ใจว่า PayPal เสนอตัวเลือกนี้ แต่มีเกตเวย์การชำระเงินอื่น ๆ

โปรดจำไว้ว่าแม้ว่าคุณจะไม่ได้จัดเก็บข้อมูลบัตรเครดิตลงในดิสก์คุณยังอยู่ในขอบเขตสำหรับข้อกำหนด PCI-DSS บางอย่าง วิธีที่ง่ายที่สุดที่จะปฏิบัติตามคือการไม่ใช้ข้อมูล CC ใด ๆ (เช่น: โดยการโพสต์แบบฟอร์มการชำระเงินโดยตรงไปยังเกตเวย์การชำระเงิน)


3

บริการเช่นhttp://chargify.com/เสนอเลเยอร์เพิ่มเติมที่ด้านบนของเกตเวย์การชำระเงินที่มีอยู่ พวกเขามีแนวโน้มที่จะเสนอวิธีการทุกประเภทในการจัดเก็บบัตรเครดิตให้คุณดำเนินการชำระเงินเป็นประจำและสร้างรายงานให้คุณ

สิ่งนี้จะช่วยให้คุณหลีกเลี่ยงปัญหาหนี้สินและการปฏิบัติตาม PCI ทั้งหมด ข้อกังวลอย่างหนึ่งที่ฉันมีคือถ้าวันหนึ่งคุณต้องการเปลี่ยนผู้ขายบัญชีผู้ค้าหรือเกตเวย์ คุณนำลูกค้า 10,000 คนไปกับคุณอย่างไร พวกเขามอบฐานข้อมูลบัตรเครดิตหรือไม่? การทำงานกับคู่แข่งเพื่อย้ายข้อมูลบัตรเครดิตมากกว่าหรือไม่

ฉันสงสัยมัน. โอกาสที่คุณจะต้องขอให้ลูกค้าของคุณทั้งหมดส่งข้อมูลการเรียกเก็บเงินอีกครั้งหากคุณเปลี่ยนผู้ให้บริการ นี่เป็นข้อโต้แย้งเล็ก ๆ ในความโปรดปรานของการจัดเก็บข้อมูลบัตรเครดิตด้วยตัวคุณเอง อาจคุ้มค่าก็ต่อเมื่อคุณจะมีลูกค้าจำนวนมากและมีรายได้จำนวนมาก ฉันอยากรู้อยากเห็นมากที่จะได้ยินความคิดของคนอื่นในปริศนานี้โดยเฉพาะ


นั่นเป็นจุดที่ดีมากฉันไม่ได้คิดอย่างนั้น เราใช้ SecurePay มานานประมาณ 5-6 ปีและไม่เคยมีข้อกังวลใด ๆ กับพวกเขาดังนั้นฉันคิดว่าเราจะติดกับพวกเขา แต่ใครจะรู้ว่าอนาคตจะเป็นอย่างไร ...
Mark Henderson

2

ฉันยังไม่มีตัวแทนมากพอที่จะโหวตหรือแสดงความคิดเห็นดังนั้นนี่เป็นคำตอบใหม่ ตามที่zhaph ชี้ให้เห็นบริษัท การค้าจำนวนมากเสนอระบบการชำระเงินที่เกิดขึ้นซ้ำซึ่งพวกเขาจัดการที่เก็บข้อมูลสำหรับคุณ

เราได้ใช้ Authorize.net สำหรับลูกค้าที่ไม่ต้องการใช้ PayPal และมันใช้งานได้ดี (ข้อร้องเรียนใหญ่ของเราเพียงอย่างเดียวคือการที่คีย์ API รีเซ็ตทุก 6 เดือนและพวกเขาไม่ต้องแจ้งให้คุณทราบเมื่อมันเกิดขึ้นดังนั้น หน้าหยุดทำงาน) API ของพวกเขานั้นใช้ XML และคุณสามารถค้นหาข้อมูลเพิ่มเติมได้ในทุกภาษา


1

โปรดทราบว่าถ้าคุณไม่จบลงด้วยการตัดสินใจที่จะเก็บข้อมูลบัตรเครดิตในฐานข้อมูลของคุณเองคุณไม่ควรภายใต้สถานการณ์ใดเก็บ3 บาทรหัสความปลอดภัยของบัตร ห้ามทำเช่นนั้นโดยเด็ดขาดจากการเชื่อมโยงของการ์ด

BTW คุณไม่จำเป็นต้องใช้รหัสความปลอดภัยการ์ดในการทำธุรกรรม มันปรับปรุงอัตราการตรวจจับการฉ้อโกง แต่คุณไม่จำเป็นต้องใช้มันหากคุณมีความสัมพันธ์กับลูกค้าอย่างต่อเนื่อง (และแม้ว่าคุณคิดว่าคุณต้องการคุณไม่สามารถจัดเก็บได้ไม่ว่าอะไรก็ตาม)

ฉันยังแนะนำที่สองอื่น ๆ เพื่อไม่เก็บข้อมูล ผู้จัดการข้อมูลลูกค้าของ Authorize.Net นั้นใช้งานง่ายและราคาถูก มันจะถูกกว่ามากสำหรับคุณที่จะใช้มันแทนที่จะได้รับค่าใช้จ่าย PCI โดยธรรมชาติในการจัดเก็บข้อมูลบนเซิร์ฟเวอร์ของคุณเอง


1

หากคุณกำลังจะเก็บบัตรเครดิตในฐานข้อมูลของคุณการเข้ารหัสเป็นกุญแจสำคัญ นอกจากนี้คุณยังจะต้อง (หรืออาจจำเป็นต้องใช้) เพื่อให้มีการทดสอบการปฏิบัติตามข้อกำหนดของบุคคลที่สามเพื่อให้แน่ใจว่าระบบของคุณมีความปลอดภัย


5
แต่อย่าเก็บ CCs ไว้ในฐานข้อมูลของคุณ อย่า
dimo414

การเข้ารหัสเป็นเพียงการเริ่มต้น ไปดาวน์โหลด SAQ (แบบสอบถามการประเมินตนเอง) pcisecuritystandards.org/merchants/self_assessment_form.php ที่เกี่ยวข้องของคุณและเริ่มต้นการค้นหาว่าการเข้ารหัสฐานข้อมูลนั้นค่อนข้างไกลรายการความต้องการ มีหลายวิธีในการรั่วไหลของข้อมูลประจำตัวของบัตรเครดิตที่คุณไม่ได้สัมผัสแม้แต่ที่เกี่ยวข้องกับการจัดเก็บข้อมูลบัตรเครดิต
Fiasco Labs
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.