भुगतान प्रोसेसर - अगर मुझे अपनी वेबसाइट पर क्रेडिट कार्ड स्वीकार करना है तो मुझे क्या जानना होगा? [बन्द है]

यह प्रश्न विभिन्न भुगतान प्रोसेसर के बारे में बात करता है और उनकी लागत क्या है, लेकिन मुझे इस जवाब की तलाश है कि मुझे क्रेडिट भुगतान भुगतान स्वीकार करना है तो मुझे क्या करना होगा?

मान लें कि मुझे ग्राहकों के लिए क्रेडिट कार्ड नंबर स्टोर करने की आवश्यकता है , ताकि हेवी लिफ्टिंग करने के लिए क्रेडिट कार्ड प्रोसेसर पर निर्भर होने का स्पष्ट समाधान उपलब्ध न हो।

PCI डेटा सुरक्षा , जो स्पष्ट रूप से क्रेडिट कार्ड की जानकारी संग्रहीत करने के लिए मानक है, में सामान्य आवश्यकताओं का एक गुच्छा है, लेकिन कोई उन्हें कैसे लागू करता है ?

और उन विक्रेताओं के बारे में क्या है, जैसे वीज़ा , जिनके पास अपनी सर्वोत्तम प्रथाएं हैं?

क्या मुझे मशीन में कीफोब एक्सेस की आवश्यकता है? इमारत में हैकर्स से शारीरिक रूप से इसे बचाने के बारे में क्या? या यहां तक ​​कि अगर किसी ने उस पर sql सर्वर डेटा फ़ाइलों के साथ बैकअप फ़ाइलों पर अपने हाथों को प्राप्त किया तो क्या होगा?

बैकअप के बारे में क्या? क्या उस डेटा की अन्य भौतिक प्रतियां हैं?

युक्ति: यदि आपको एक व्यापारी खाता मिलता है, तो आपको बातचीत करनी चाहिए कि वे आपको मूल्य निर्धारण के बजाय "इंटरचेंज-प्लस" चार्ज करते हैं। टियर मूल्य निर्धारण के साथ, वे आपको विभिन्न दरों के आधार पर शुल्क देंगे कि किस प्रकार के वीज़ा / एमसी का उपयोग किया जाता है - अर्थात। वे आपसे बड़े पुरस्कारों के साथ कार्ड के लिए अधिक शुल्क लेते हैं। इंटरचेंज प्लस बिलिंग का मतलब है कि आप केवल उस प्रोसेसर का भुगतान करें जो वीज़ा / एमसी उन्हें चार्ज करता है, एक फ्लैट शुल्क। (एमेक्स और डिस्कवर अपनी खुद की दरों को सीधे व्यापारियों से वसूलते हैं, इसलिए यह उन कार्डों पर लागू नहीं होता है। आपको एमेक्स की दरें 3% रेंज में मिलेंगी और डिस्कवर 1% से कम हो सकता है। वीजा / एमसी है 2% रेंज)। यह सेवा आपके लिए बातचीत करने के लिए है (मैंने इसका उपयोग नहीं किया है, यह कोई विज्ञापन नहीं है, और मैं वेबसाइट से संबद्ध नहीं हूं,

यह ब्लॉग पोस्ट क्रेडिट कार्ड (विशेष रूप से यूके के लिए) को संभालने का एक पूरा तरीका देता है ।

शायद मैंने इस सवाल को गलत बताया, लेकिन मैं इस तरह की युक्तियों की तलाश कर रहा हूं:

1. भौतिक बॉक्स में एक अतिरिक्त पासवर्ड परत जोड़ने के लिए SecurID या eToken का उपयोग करें ।
2. सुनिश्चित करें कि बॉक्स एक भौतिक लॉक या कीकोड संयोजन के साथ एक कमरे में है।

मैं इस प्रक्रिया से बहुत पहले नहीं गया था कि जिस कंपनी के लिए मैंने काम किया था और मैं अपने खुद के व्यवसाय के साथ जल्द ही फिर से गुजरने की योजना बना रहा हूं। यदि आपके पास कुछ नेटवर्क तकनीकी ज्ञान है, तो यह वास्तव में उतना बुरा नहीं है। अन्यथा आप पेपैल या किसी अन्य प्रकार की सेवा का उपयोग करना बेहतर होगा।

एक व्यापारी खाता सेटअप प्राप्त करने और आपके बैंक खाते से बंधा होने से प्रक्रिया शुरू होती है । आप अपने बैंक के साथ जांच करना चाहते हैं, क्योंकि बहुत सारे प्रमुख बैंक व्यापारी सेवाएं प्रदान करते हैं। आप सौदे प्राप्त करने में सक्षम हो सकते हैं, क्योंकि आप पहले से ही उनके ग्राहक हैं, लेकिन यदि नहीं, तो आप खरीदारी कर सकते हैं। यदि आप डिस्कवर या अमेरिकन एक्सप्रेस को स्वीकार करने की योजना बनाते हैं, तो वे अलग हो जाएंगे, क्योंकि वे अपने कार्ड के लिए व्यापारी सेवाएं प्रदान करते हैं, इसके आस-पास कोई भी नहीं मिलता है। अन्य विशेष मामले भी हैं। यह एक आवेदन प्रक्रिया है, तैयार रहें।

आगे आप एक एसएसएल प्रमाणपत्र खरीदना चाहेंगे जिसका उपयोग आप अपने संचार को सुरक्षित करने के लिए कर सकते हैं जब क्रेडिट कार्ड की जानकारी सार्वजनिक नेटवर्क पर प्रसारित होती है। बहुत सारे विक्रेता हैं, लेकिन मेरे अंगूठे का नियम एक तरह से एक ब्रांड नाम लेने का है। जितना बेहतर वे जाने जाते हैं, उतना ही आपके ग्राहक ने शायद उनके बारे में सुना है।

आगे आप अपनी साइट के साथ उपयोग करने के लिए एक भुगतान गेटवे ढूंढना चाहेंगे । यद्यपि आप कितने बड़े हैं, यह इस आधार पर वैकल्पिक हो सकता है, लेकिन अधिकांश समय ऐसा नहीं होगा। आपको एक की आवश्यकता होगी। भुगतान गेटवे विक्रेता इंटरनेट गेटवे एपीआई से बात करने का एक तरीका प्रदान करते हैं जिसके साथ आप संवाद करेंगे। अधिकांश विक्रेता अपने एपीआई के साथ HTTP या टीसीपी / आईपी संचार प्रदान करते हैं। वे आपकी ओर से क्रेडिट कार्ड की जानकारी संसाधित करेंगे। दो विक्रेताओं हैं Authorize.Net और PayFlow Pro । नीचे दिए गए लिंक में अन्य विक्रेताओं के बारे में कुछ और जानकारी है।

अब क्या? शुरुआत के लिए लेन-देन संचारित करने के लिए आपके आवेदन का पालन करने के लिए दिशानिर्देश हैं। सब कुछ सेटअप करने की प्रक्रिया के दौरान, कोई व्यक्ति आपकी साइट या एप्लिकेशन को देखेगा और सुनिश्चित करेगा कि आप दिशानिर्देशों का पालन कर रहे हैं, जैसे एसएसएल का उपयोग करना और यह कि आपके पास उपयोगकर्ता द्वारा दी जा रही जानकारी का उपयोग करने की नीति और उपयोग के दस्तावेज हैं। के लिये। इसे किसी अन्य साइट से चोरी न करें। यदि आप की जरूरत है, एक वकील को किराए पर लें। इनमें से अधिकांश चीजें पीसीआई डाटा सिक्योरिटी लिंक माइकल के अंतर्गत आती हैं जो उनके प्रश्न में दी गई हैं।

यदि आप क्रेडिट कार्ड नंबर को स्टोर करने की योजना बनाते हैं, तो आप बेहतर रूप से जानकारी की सुरक्षा के लिए आंतरिक रूप से कुछ सुरक्षा उपाय करने के लिए तैयार रहेंगे। सुनिश्चित करें कि जिस सर्वर पर जानकारी संग्रहीत है, वह केवल उन सदस्यों के लिए सुलभ है जिन्हें एक्सेस की आवश्यकता है। किसी भी अच्छी सुरक्षा की तरह, आप चीजों को परतों में करते हैं। अधिक परतों आप बेहतर जगह में डाल दिया। यदि आप चाहते हैं कि आप सिक्योर या ईटोकन जैसे महत्वपूर्ण फोब टाइप सुरक्षा का उपयोग कर सकते हैंकमरे की सुरक्षा के लिए सर्वर अंदर है। यदि आप मुख्य फ़ॉब मार्ग को बर्दाश्त नहीं कर सकते हैं, तो दो प्रमुख विधि का उपयोग करें। उस व्यक्ति को अनुमति दें जिसके पास कमरे में प्रवेश करने के लिए एक कुंजी है, जो एक कुंजी के साथ पहले से ही ले जाता है। कमरे तक पहुंचने के लिए उन्हें दोनों चाबियों की आवश्यकता होगी। अगला आप नीतियों के साथ सर्वर को संचार की रक्षा करते हैं। मेरी नीति यह है कि नेटवर्क पर इसके बारे में संवाद करने वाली एकमात्र चीज़ अनुप्रयोग है और यह जानकारी एन्क्रिप्ट की गई है। सर्वर किसी अन्य रूप में सुलभ नहीं होना चाहिए। बैकअप के लिए, मैं truecrypt का उपयोग करता हूंवॉल्यूम को एन्क्रिप्ट करने के लिए बैकअप को सहेजा जाएगा। कभी भी डेटा को हटा दिया जाता है या कहीं और संग्रहीत किया जाता है, तो डेटा को चालू करने के लिए फिर से आप ट्रुकक्रिप्ट का उपयोग करते हैं। मूल रूप से जहां कभी भी डेटा होता है, उसे एन्क्रिप्ट करने की आवश्यकता होती है। सुनिश्चित करें कि डेटा प्राप्त करने के लिए सभी प्रक्रियाएं ऑडिटिंग ट्रेल्स को वहन करती हैं। सर्वर रूम तक पहुंच के लिए लॉग का उपयोग करें, यदि आप कर सकते हैं तो कैमरों का उपयोग करें, आदि ... एक और उपाय डेटाबेस में क्रेडिट कार्ड की जानकारी को एन्क्रिप्ट करना है। यह सुनिश्चित करता है कि डेटा केवल आपके एप्लिकेशन में देखा जा सकता है जहां आप सूचना देखने वाले को लागू कर सकते हैं।

मैं अपने फ़ायरवॉल के लिए pfsense का उपयोग करता हूं। मैं इसे एक कॉम्पैक्ट फ़्लैश कार्ड से चलाता हूं और इसमें दो सर्वर सेटअप हैं। एक अतिरेक के लिए विफल है।

मुझे रिक स्ट्राल की यह ब्लॉग पोस्ट बहुत अच्छी लगी, जिसने ई-कॉमर्स को समझने में काफी मदद की और एक वेब एप्लिकेशन के माध्यम से क्रेडिट कार्ड स्वीकार करने में क्या मदद मिली।

खैर, यह एक लंबा जवाब निकला। मुझे उम्मीद है कि ये टिप्स मदद करेंगे।

अपने आप से निम्नलिखित प्रश्न पूछें: आप पहली बार में क्रेडिट कार्ड नंबर क्यों जमा करना चाहते हैं ? संभावना है कि आप नहीं हैं। वास्तव में, यदि आप उन्हें स्टोर करते हैं और एक चोरी करने का प्रबंधन करते हैं , तो आप कुछ गंभीर दायित्व देख सकते हैं।

मैंने एक ऐप लिखा है जो क्रेडिट कार्ड नंबर स्टोर करता है (क्योंकि लेनदेन ऑफ़लाइन संसाधित किया गया था)। यहाँ यह करने का एक अच्छा तरीका है:

• एसएसएल प्रमाणपत्र प्राप्त करें!
• उपयोगकर्ता से CC # प्राप्त करने के लिए एक फ़ॉर्म बनाएँ।
• CC # का हिस्सा (सभी नहीं!) एन्क्रिप्ट करें और अपने डेटाबेस में संग्रहीत करें। (मैं बीच के 8 अंकों का सुझाव दूंगा।) एक मजबूत एन्क्रिप्शन विधि और एक गुप्त कुंजी का उपयोग करें।
• सीसी के शेष # को मेल करें जो कोई भी आपके लेनदेन को संसाधित करता है (शायद खुद को) प्रक्रिया करने के लिए व्यक्ति की आईडी के साथ।
• जब आप बाद में लॉग इन करते हैं, तो आप आईडी और CC # के मेल-आउट भाग में टाइप करेंगे। आपका सिस्टम अन्य भाग को डिक्रिप्ट कर सकता है और पूर्ण संख्या प्राप्त करने के लिए पुनर्संयोजन कर सकता है ताकि आप लेनदेन को संसाधित कर सकें।
• अंत में, ऑनलाइन रिकॉर्ड हटाएं। मेरा विरोधाभास समाधान हटाना से पहले यादृच्छिक डेटा के साथ रिकॉर्ड को अधिलेखित करना था, एक अनिर्दिष्ट की संभावना को दूर करने के लिए।

यह बहुत काम की तरह लगता है, लेकिन कभी भी एक पूर्ण सीसी # कहीं भी रिकॉर्ड करके, आप अपने वेबसर्वर पर किसी भी मूल्य का पता लगाने के लिए एक हैकर के लिए इसे बहुत कठिन बनाते हैं। मेरा विश्वास करो, यह मन की शांति के लायक है।

PCI 1.2 दस्तावेज़ अभी बाहर आया था। यह आवश्यकताओं के साथ पीसीआई अनुपालन को कैसे लागू किया जाए, इसके लिए एक प्रक्रिया देता है। आप यहां पूरा डॉक पा सकते हैं:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

लंबी कहानी छोटी, जो भी सर्वर के लिए एक अलग नेटवर्क सेगमेंट बनाएं, वह सी सी जानकारी (आमतौर पर डीबी सर्वर) को स्टोर करने के लिए समर्पित होगा। जितना संभव हो सके डेटा को अलग करें, और डेटा तक पहुंचने के लिए आवश्यक न्यूनतम पहुंच सुनिश्चित करें। जब आप इसे संग्रहीत करते हैं तो इसे एन्क्रिप्ट करें। कभी भी पैन की दुकान न करें। पुराने डेटा को पर्ज करें और अपनी एन्क्रिप्शन कुंजियों को घुमाएँ।

उदाहरण के लिए:

• उसी खाते को न दें जो सामान्य जानकारी को डेटाबेस में देख सकता है, सीसी जानकारी को देख सकता है।
• अपने सीसी डेटाबेस को अपने वेब सर्वर के समान भौतिक सर्वर पर न रखें।
• अपने CC डेटाबेस नेटवर्क सेगमेंट में बाहरी (इंटरनेट) ट्रैफ़िक की अनुमति न दें।

उदाहरण दोस:

• CC की जानकारी को क्वेरी करने के लिए एक अलग डेटाबेस खाते का उपयोग करें।
• फ़ायरवॉल / एक्सेस-सूचियों के माध्यम से सीसी डेटाबेस सर्वर के लिए सभी आवश्यक ट्रैफिक को छोड़ दें
• अधिकृत उपयोगकर्ताओं के सीमित सेट तक सीसी सर्वर तक पहुंच को प्रतिबंधित करें।

मैं एक गैर-तकनीकी टिप्पणी जोड़ना चाहूंगा जिसके बारे में आप सोच सकते हैं

मेरे कई ग्राहक ई-कॉमर्स साइट चलाते हैं, जिसमें ऐसे जोड़े भी शामिल हैं जिनके पास बड़े स्टोर हैं। वे दोनों, जबकि वे निश्चित रूप से एक भुगतान गेटवे लागू कर सकते हैं, वे भी सीसी नंबर नहीं लेते हैं, इसे अस्थायी रूप से ऑनलाइन एन्क्रिप्टेड स्टोर करते हैं और इसे मैन्युअल रूप से संसाधित करते हैं।

वे धोखाधड़ी की उच्च घटनाओं के कारण ऐसा करते हैं और मैनुअल प्रोसेसिंग उन्हें ऑर्डर भरने से पहले अतिरिक्त जांच करने की अनुमति देती है। मुझे बताया गया है कि वे अपने सभी लेनदेन में 20% से अधिक को अस्वीकार करते हैं - प्रसंस्करण मैन्युअल रूप से निश्चित रूप से अतिरिक्त समय लेता है और एक मामले में उनके पास एक कर्मचारी होता है जो लेनदेन के अलावा कुछ भी नहीं करता है, लेकिन उसके वेतन का भुगतान करने की लागत जाहिरा तौर पर उनके मुकाबले कम है एक्सपोजर अगर वे सिर्फ cc नंबर पास करते हैं, हालांकि ऑनलाइन गेटवे।

ये दोनों ग्राहक पुनर्विक्रय मूल्य के साथ भौतिक वस्तुओं को वितरित कर रहे हैं, इसलिए विशेष रूप से उजागर किए जाते हैं और सॉफ्टवेयर जैसी वस्तुओं के लिए जहां एक धोखाधड़ी बिक्री से किसी भी वास्तविक नुकसान का परिणाम नहीं होगा, आपका माइलेज अलग-अलग होगा, लेकिन यह ऑनलाइन गेटवे के तकनीकी पहलुओं के ऊपर विचार करने योग्य है। अगर ऐसा लागू करना वास्तव में आप चाहते हैं।

संपादित करें: और इस उत्तर को बनाने के बाद से मैं एक सावधानी की कहानी जोड़ना चाहूंगा और कहूंगा कि वह समय बीता है जब यह एक अच्छा विचार था।

क्यों? क्योंकि मुझे एक और संपर्क का पता है जो एक समान दृष्टिकोण ले रहा था। कार्ड का विवरण एन्क्रिप्ट किया गया था, वेबसाइट एसएसएल द्वारा एक्सेस की गई थी, और प्रोसेसिंग के तुरंत बाद नंबर हटा दिए गए थे। सुरक्षित आप सोचते हैं?

उनके नेटवर्क पर कोई भी मशीन एक प्रमुख लॉगिंग ट्रोजन से संक्रमित नहीं हुई। इसके परिणामस्वरूप उन्हें कई स्कोर क्रेडिट कार्ड फोर्जरी के स्रोत के रूप में पहचाना गया था - और परिणामस्वरूप बड़े जुर्माना द्वारा मारा गया।

इसके परिणामस्वरूप अब मैं कभी भी किसी को भी क्रेडिट कार्ड को संभालने की सलाह नहीं देता । भुगतान गेटवे तब से अधिक प्रतिस्पर्धी और प्रभावी हो गए हैं, और धोखाधड़ी के उपायों में सुधार हुआ है। जोखिम अब इसके लायक नहीं है।

मैं इस उत्तर को हटा सकता था, लेकिन मैं सावधानी के साथ संपादित कहानी को छोड़ना बेहतर समझता हूं।

ध्यान रखें कि ब्राउज़र से सर्वर पर कार्ड नंबर भेजने के लिए SSL का उपयोग करना आपके क्रेडिट कार्ड नंबर को अपने अंगूठे से ढंकने के समान है जब आप किसी रेस्तरां में अपने कार्ड को कैशियर को सौंपते हैं: आपका अंगूठा (SSL) रेस्तरां में अन्य ग्राहकों को रोकता है (नेट) कार्ड देखने से, लेकिन कार्ड कैशियर (एक वेब सर्वर) के हाथ में होने के बाद, कार्ड अब SSL एक्सचेंज द्वारा संरक्षित नहीं है, और कैशियर उस कार्ड के साथ कुछ भी कर सकता है। एक सहेजे गए कार्ड नंबर तक पहुंच केवल वेब सर्वर पर सुरक्षा द्वारा रोका जा सकता है। यानी, नेट पर अधिकांश कार्ड चोरी ट्रांसमिशन के दौरान नहीं किए जाते हैं, वे खराब सर्वर सुरक्षा और डेटाबेस चोरी करने के माध्यम से किए जाते हैं।

पीसीआई के अनुपालन से क्यों परेशान हैं ?? सबसे अच्छा आप अपनी प्रोसेसिंग फीस से कुछ प्रतिशत निकाल देंगे। यह उन मामलों में से एक है जहां आपको यह सुनिश्चित करना चाहिए कि आप विकास में अपने समय के साथ और नवीनतम आवश्यकताओं को ध्यान में रखते हुए समय के साथ क्या करना चाहते हैं।

हमारे मामले में, यह एक सदस्यता-सेवी गेटवे और जोड़ी का उपयोग करने के लिए सबसे अधिक समझ में आता है जो एक व्यापारी खाते के साथ है। सदस्यता-सेवी गेटवे आपको सभी पीसीआई अनुपालन को छोड़ देता है और लेनदेन को उचित प्रक्रिया से ज्यादा कुछ नहीं करता है।

हम अपने गेटवे के रूप में ट्रस्टकाम का उपयोग करते हैं और उनकी सेवा / मूल्य निर्धारण से खुश हैं। उनके पास भाषाओं के एक समूह के लिए कोड है जो एकीकरण को बहुत आसान बनाता है।

PCI के लिए आवश्यक अतिरिक्त कार्य और बजट पर एक हैंडल प्राप्त करना सुनिश्चित करें। पीसीआई को भारी बाहरी ऑडिट फीस और आंतरिक प्रयास / समर्थन की आवश्यकता हो सकती है। उन जुर्माना / दंड से भी अवगत रहें, जो आप पर एकतरफा लगाया जा सकता है, अक्सर बेहद 'अनुपात' के पैमाने पर असम्बद्ध होता है।

पूरी प्रक्रिया के लिए बहुत कुछ है। इसका सबसे आसान तरीका यह है कि आप पेपाल जैसी सेवाओं का उपयोग करें, ताकि आप वास्तव में किसी भी क्रेडिट कार्ड डेटा को संभाल न सकें। इसके अलावा, आपकी वेबसाइट पर क्रेडिट कार्ड सेवाओं की पेशकश करने के लिए अनुमोदित होने के लिए बहुत से सामान हैं। आपको संभवतः अपने बैंक, और उन लोगों से बात करनी चाहिए जो प्रक्रिया को स्थापित करने में आपकी मदद करने के लिए आपकी मर्चेंट आईडी जारी करते हैं।

जैसा कि अन्य लोगों ने बताया है कि इस क्षेत्र में सबसे आसान तरीका पेपैल , Google चेकआउट या नोशेक्स का उपयोग है । लेकिन यदि आप व्यापार का एक महत्वपूर्ण राशि के लिए करना चाहते हैं तो आप इस तरह के रूप उच्च स्तर साइट एकीकरण सेवाओं के लिए "उन्नयन" को देखने के लिए इच्छा हो सकती है WorldPay , NetBanx (यूके) या Neteller (अमेरिका) । इन सभी सेवाओं को स्थापित करना काफी आसान है। और मुझे पता है कि Netbanx शेल्फ शॉपिंग कार्ट के समाधानों में से कुछ में सुविधाजनक एकीकरण प्रदान करता है नेटबैंक्स इंटेरशोप(क्योंकि मैंने उनमें से कुछ लिखे)। इससे परे कि आप बैंकिंग सिस्टम (और उनके APAX सिस्टम) के साथ प्रत्यक्ष एकीकरण देख रहे हैं, लेकिन यह कठिन है और उस बिंदु पर आपको क्रेडिट कार्ड कंपनियों को यह साबित करने की आवश्यकता है कि आप क्रेडिट कार्ड नंबर को सुरक्षित रूप से संभाल रहे हैं (शायद इस पर विचार करने लायक नहीं है आप प्रति माह $ 100k के मूल्य नहीं ले रहे हैं)।

पहली से अंतिम लागत / लाभ के लिए काम कर रहे हैं कि प्रारंभिक विकल्प बहुत आसान (जल्दी / सस्ता) स्थापित करने के लिए आप प्रत्येक लेनदेन के लिए काफी उच्च हैंडलिंग शुल्क का भुगतान करते हैं। बाद के लोग सेट अप करने के लिए बहुत अधिक महंगे हैं, लेकिन आप लंबे समय में कम भुगतान करते हैं।

अधिकांश गैर-समर्पित समाधानों का अन्य लाभ यह है कि आपको एन्क्रिप्टेड क्रेडिट कार्ड नंबर को सुरक्षित रखने की आवश्यकता नहीं है। किसी और की समस्या Thats :-)