Umgang mit Kreditkarteninformationen auf meinem Server

Question

Meine Firma möchte eine abonnementbasierte Website starten und ich implementiere sie mit einem Zahlungsgateway.

Das Problem ist, dieses Zahlungs-Gateway gibt mir keine Werkzeuge, um die Kreditkarteninformationen des Kunden zu verschlüsseln, bevor es unseren Server erreicht.

Also meine Frage ist, wie soll ich mit dieser sehr sensiblen Informationen umgehen?

Ich plane nicht, es oder irgendetwas zu speichern, senden Sie es einfach direkt vom Server an das Zahlungsgateway zur Validierung.

Darf man Kreditkarteninformationen im Klartext verarbeiten?

Ich weiß, dass dies ein sehr offenes Thema ist, ich will nur für irgendwohin gelenkt werden, wo ich mehr über dieses Thema lesen und verstehen kann.

Answer 1

Sie werden mit ziemlicher Sicherheit PCI-Konformität benötigen, und mit dem Setup, das Sie beschrieben haben, benötigen Sie die breiteste Bereichsbewertung. Nicht etwas, dem du leichtherzig begegnen möchtest.

Wenn Sie bereits branchenübliche Sicherheit installiert haben, sollte es kein großer Schritt zur PCI-Konformität sein, aber die meisten haben das nicht. In der Regel ist der Ansatz, um Ihren Umfang zu reduzieren, können Sie dies mit einem Drittanbieter Angebot wie ein Iframe oder Redirect tun, Unternehmen wie Stripe bieten Lösungen, dies zu tun. In diesem Fall können Sie vielleicht mit SAQ A durchkommen, ansonsten benötigen Sie wahrscheinlich SAQ D. Dies hängt auch von Ihrem Volumen ab, wenn sie höher sind, benötigen Sie einen Bericht über die Einhaltung von Vorschriften (roc), der teuer und teuer sein kann werden jährlich benötigt.

Sie können mit Ihrer Händlerbank chatten, da sie normalerweise die Einhaltung der Bestimmungen erfordern. Sie können sehr hilfreich sein, vorausgesetzt, Ihr Service ist nicht live.

Schauen Sie sich die pci council website, viele Infos auf dort, um loszulegen.