Ho bisogno di salvare i numeri di carta di credito e i codici segreti degli utenti nel database in testo semplice (ovviamente dietro consenso) per l'operazione automatica effettuata dal server.Posso salvare il codice segreto della carta di credito nel database?
C'è qualche problema?
Di cosa ho bisogno di essere a conoscenza?
La maggior parte degli accordi di elaborazione delle carte di credito che ho visto non consente di memorizzare il codice dal retro della carta.
Ci sono altre implicazioni sulla sicurezza della memorizzazione di numeri di carta di credito in formato testo normale, ma la memorizzazione del codice di solito non è consentita in modo specifico dal contratto. Dovrai leggere il tuo per assicurarti di poterlo fare.
Per quanto riguarda la memorizzazione del numero di carta di credito, anche questa è di solito una pessima idea. Se il tuo database è compromesso, sarai ritenuto responsabile e potrebbe costarti un sacco di soldi.
Se non avete una buona ragione per memorizzare il numero della carta di credito e hanno un ottimo gruppo di lavoro in materia di sicurezza, io non consiglierei la memorizzazione di tutti i dati delle carte di credito.
Risposta breve, no, cattiva idea. Dovresti avere tante considerazioni che non è solo una buona idea. Non importa che la maggior parte degli accordi non ti permetterebbe comunque.
Authorize.net (solo un esempio) memorizzerà le informazioni della carta di credito in modo da poter fare i rebills. È un sistema semplice che funziona molto bene e ti assolve da qualsiasi problema legato allo storage.
+1. Terribile, terribile idea di archiviare le informazioni sulle carte di credito TJX ha dovuto pagare $ 10 milioni perché il loro database è stato violato. –
Il codice CVV viene utilizzato per verificare che il titolare della carta abbia avuto la carta al momento della transazione originale. Una volta verificato, non ne hai più bisogno, quindi non memorizzarlo.
Tutti gli accordi di conto commerciale che so specificatamente affermano che NON è necessario memorizzare il CVV. Questo è per motivi di sicurezza.
L'utilizzo del codice CVV su ogni transazione automatizzata equivarrebbe a dire che il proprio sistema automatizzato ha la carta in suo possesso al momento della transazione, cosa che suppongo non sia il caso.
Non ne hai bisogno dopo averlo verificato la prima volta. Sicuramente non conservarlo.
Non è consentito memorizzare i numeri delle carte di credito in formato testo.
Per @Jeff, è necessario ascoltare. Se intendi elaborare carte di credito, dovresti (credo debba, ma IANAL) rispettare lo Payment Card Industry Data Security Standard.
PCI-DSS (Payment Card Industry Data Security Standard) assolutamente vieta dati della carta da persisteva su disco in formato testo. Inoltre, il 3 cifre Codice di sicurezza (4 cifre su Amex) non può essere immagazzinata post autorizzazione, e idealmente si dovrebbe tenere solo in memoria fino a quando l'autorizzazione è stata completata.
Gli stati PCI è possibile memorizzare al massimo le prime sei e ultime quattro cifre in testo normale. I requisiti per ricevute stampate sono diverse, ci si può stampare solo le ultime quattro cifre al massimo.
PCI non ottiene molto più facile se si vuole cercare di crittografare i dati prima di loro persistente. È necessario considerare key management, key rotation, split keys.Inoltre, è necessario subire yearly onsite audits sulla sicurezza della rete interna e quarterly audits della rete pubblica. Il costo netto sarà facilmente incassabile in migliaia di dollari.
In breve. Non pensarci nemmeno!
PCI DSS proibisce l'archiviazione del codice CVV (presupponendo che si tratti di "codice segreto"). – Jeff
@Jeff consentono alcune situazioni se è possibile dimostrare che è richiesto. – Incognito
@user. Scusa, ma ti sbagli. Non può essere immagazzinato dopo l'autorizzazione. Ho lavorato alla creazione di sistemi di pagamento conformi allo standard PCI – PaulG