2009-09-13 17 views
6

Devo utilizzare le sessioni per i primi passaggi (convalida, rivedere l'acquisto) quindi inserire le informazioni nel database nell'invio finale?Best practice per l'acquisizione e l'archiviazione delle informazioni della carta di credito con PHP

I cookie possono essere sollevati e trasformati in una causa legale? È troppo rischioso?

Devo proteggere il mio db in modo speciale se si memorizzano i numeri delle carte di credito?

Tutte le raccomandazioni e le esperienze personali sono benvenute.

risposta

11

I problemi relativi alle carte di credito hanno requisiti rigorosi (google "Conformità PCI") relativi alla memorizzazione dei dati delle carte di credito.

C'è almeno un gateway di pagamento che permette di esternalizzare la roba di conformità: http://www.braintreepaymentsolutions.com/

L'ultima volta che ho guardato, è possibile eseguire una transazione iniziale, e tornare un token. Questo gettone può essere utilizzato per addebitare futuri addebiti sulla carta, ma solo da parte tua. I responsabili del gateway di pagamento si occupano di memorizzare i dati effettivi della carta di credito.

Per quanto ne so (e non faccio un sacco di elaborazione della carta), questa è probabilmente la soluzione migliore se è necessario fare accuse arbitrarie contro la stessa carta.

Se tutto ciò che serve è un addebito ricorrente (un importo fisso a intervalli regolari), la maggior parte dei gateway di pagamento (autorizza.net viene in mente) può essere configurata per questo.

Alla fine della giornata, se non si ha a che fare con un budget particolarmente elevato, è meglio esternalizzare la scheda # archiviazione. Farlo da solo è una responsabilità eccessiva.

(Modifica: per memorizzare le cose in sessione - sì, probabilmente puoi farla franca, ma probabilmente dovresti evitarlo. Basta fare il tuo iniziale auth/capture in-process quando vengono inviate le informazioni CC).

+0

Authorize.net ha una buona API di addebito ricorrente. Usandolo ora. E sì, lasciamo l'incarico di conservare i nostri numeri di carta di credito su Authorize.net. MODO troppa esposizione legale altrimenti. –

+1

Quando si sceglie un gateway per archiviare i dati della propria carta di credito, tenere presente che la maggior parte dei fornitori di servizi non restituirà i dati all'utente se desidera andarsene. Noi (Braintree) abbiamo iniziato uno standard di portabilità dei dati della carta di credito per affrontare il problema http://bit.ly/a2uEvm. –

Problemi correlati