サードパーティのマーチャントを通じて繰り返し請求するために、クレジットカード番号を保存する必要があります。
詳細の保存に関して遵守する必要がある基準はありますか?私たちは何年もクレジットカードを受け入れてきましたが、クレジットカードを使い終わるとすぐにその詳細を破棄していました。お客様は、毎月手動でサブスクリプション料金を支払う必要がないように、詳細を保存することを要求しています。
サブスクリプションを利用するためにPayPalに移行することはオプションではありません。それらを保管する必要があり、保管が安全であることを確認する必要があります!
データ用にMSSQL 2005を使用しており、すべてが既にSSLされています。
回答:
あなたは(文字に)従うと、好ましくは、する必要があります超えるPCI DSSの基準を。これは決して簡単に達成できる作業ではなく、取るに足らないものでもありません。
これを処理して課金システムに統合できるサードパーティのプロセッサを見つけることを強くお勧めします。SSLを使用してデータベース内の情報を暗号化するだけではありません。また、アクセスを監視し、侵入を検出し、侵害が発生した場合に影響を受ける人々にのみ通知できるシステムを設置する必要があります(そして、どのデータが侵害された可能性があるかを判断します)。
次に、サーバー、ネットワークなどに物理的にアクセスします。これは、物理LANも保護されている所有するサーバーで共有されないロックされたキャビネットを意味します。コンプライアンスは安くも簡単でもありません。
本当に、これを第三者にオフロードするために可能な限りの努力を費やしてください。負債だけでは、毎月数十万(ここに通貨を挿入)に達するトランザクションを話さない限り、リスクに見合うだけの価値はありません。その場合、節約する料金は、情報を保存するシステムの実装と監視に必要な人材を雇うことを正当化する可能性があります。あなたは必要になるでしょう:
そして、そのすべてをサードパーティに非常に安価にオフロードできます。
これは、クレジットカード情報を保存することをお勧めことはない今まで。あなたは転倒に備えているだけです。まともな支払いゲートウェイなら、クレジットカードの詳細を保存する必要のないトークンを使って繰り返し取引を行うことができます。
求める多くの回答は、Payment Card Industry Compliance Guide Webサイトで見つけることができます。彼らのリンクページには、特に便利です。
最良の提案は、このストレージをサードパーティに処理させることです。
サードパーティの販売者には、クレジットカードによる継続的な支払いのオプションが含まれていませんか?英国の主要なもののほとんどは確かにそうです(DataCash、RBS World Payなど)。
基本的には、CCC機関へのリクエストとともにカードの詳細を一度送信し(これを思い出すと、予想されるスケジュールと通常の金額を含める必要があります)、トークンを受け取ります。その後、毎月/トークンでマーチャントをポーリングし、その後のトランザクションを処理します-通常、可変のアドホックリクエスト用にこれらを設定する機能もあります。お客様の重要な要件は、支払いを受ける前に(通常少なくとも10日間)顧客に通知することです。
この方法では、CCの詳細をどこにも保存せずに、要件をすべて満たした人がすべて処理します。
これは、カードで事前認証を行うのと似ているため、クレジットカードを保管する必要はなく、必要に応じて呼び出すことができる商人のトークンのみを保管する必要があります。
それらを保管する必要があり、保管が安全であることを確認する必要があります!
1つの質問:なぜですか?
PCIを自分で処理しなければならないので、それを尋ねるだけで、それに追いつくのは苦痛です。私の日々の仕事はPCIコンプライアンスの最低のラングとして私たちを適格としていますが、それについてはまだ多くのことがあります。暗号化、最小限の特権に関する考慮事項、サーバーOSセキュリティ、内部ネットワークセキュリティ、境界セキュリティ、サードパーティの監査... そして、それは私たちがクレジットカード情報を保存していなくてもです!
(補足:eコマースを行っている場合は、CCデータを保存していない場合でもPCIに準拠する必要があります。苦情がなければ、まだ噛まなかったことを幸運だと考えてください。)
プロセッサに処理を依頼してください。私たちはAuthorize.netを使用しており、独自のカスタムフロントエンドを構築できるように素晴らしいAPIを持っていますが、実際の支払いを保存して処理します。繰り返し請求を設定したい場合、情報を保存するシステムがあります。正直なところ、私は自分自身を信じるよりも、それらを信頼しています。
他の人が言ったように、あなたはPCI-DSSを探しています。また、他の人々が言及したように、コンプライアンスは小規模なサイトでは法外に高価になる可能性があります。
サブスクリプションを利用するためにPayPalに移行することはオプションではありません。それらを保管する必要があり、保管が安全であることを確認する必要があります!
支払いゲートウェイで顧客のクレジットカード情報を識別するIDをローカルに保存できます。PayPalがこのオプションを提供するかどうかはわかりませんが、他の支払いゲートウェイがあります。
また、クレジットカードデータをディスクに保存していない場合でも、PCI-DSS要件の範囲内にあることに留意してください。準拠する最も簡単な方法は、CCデータを取得しないことです(つまり、支払いフォームを支払いゲートウェイに直接POSTすること)。
http://chargify.com/などのサービスは、既存の支払いゲートウェイの上に追加のレイヤーを提供します。クレジットカードを保存したり、定期的な支払いを実行したり、レポートを作成したりするためのあらゆる方法を提供するでしょう。
これにより、全体の責任とPCIコンプライアンスの問題を回避できます。私が懸念しているのは、いつかベンダー、商人のアカウント、またはゲートウェイを変更したい場合です。10,000人の顧客をどのように連れて行きますか?彼らはクレジットカードのデータベースを引き渡しますか?競合他社と協力してクレジットカード情報を移動しますか?
疑わしい。プロバイダを変更した場合、すべての顧客に請求情報を再送信するように依頼する必要があります。これは、クレジットカード情報を自分で保存することを支持する小さな議論の1つです。おそらく多くの顧客と多くの収入を得ようとしている場合にのみ価値があります。私はこの特定の難問について他の人々の考えを聞いて非常に興味があります。
まだ投票したりコメントしたりするのに十分な担当者がいないので、これは新しい答えになります。以下のようzhaphが指摘し、多くの商人の企業が、彼らはあなたのためのストレージを扱う定期的な決済システムを提供します。
PayPalの使用を望まないお客様にAuthorize.netを使用しており、非常にうまく機能しています(APIキーは6か月ごとにリセットされるため、発生時に通知する必要がありません。ページが機能しなくなります)。APIはXMLベースであり、ほぼすべての言語でラッパーを見つけることができます。
クレジットカード情報を自分のデータベースに保存することにした場合、どのような状況でも、3桁のカードセキュリティコードを保存しないでください。そうすることは、カード協会によって厳しく禁止されています。
ところで、取引を行うためにカードのセキュリティコードは必要ありません。不正検出率は向上しますが、顧客と継続的な関係がある場合は必要ありません。(そして、あなたがそれが必要だと思ったとしても、それを保存することはできません。何があっても。)
また、情報を保存しないという他の推奨事項も2番目です。Authorize.Netの顧客情報マネージャーは使いやすく、安価です。情報を自分のサーバーに保存することに固有のPCIコストを負担するよりも、使用する方がはるかに安くなります。
データベースにクレジットカードを保存する場合、暗号化が重要です。また、システムが適切に動作することを確認するために、サードパーティに定期的なコンプライアンステストを実行させる(または必要とする)こともあります。