आपको (पत्र को) अनुसरण करना होगा और अधिमानतः PCI DSS मानक को पार करना होगा । यह किसी भी तरह से पूरा करने के लिए एक आसान काम नहीं है और न ही इसे तुच्छ रूप से लिया जाना चाहिए।
मैं दृढ़ता से अनुशंसा करता हूं कि आप एक तृतीय पक्ष प्रोसेसर पाते हैं जो आपके लिए इसे संभाल सकता है और इसे आपके बिलिंग सिस्टम में एकीकृत कर सकता है। यह सिर्फ SSL होने और डेटाबेस में जानकारी एन्क्रिप्ट करने से परे हो जाता है। आपको एक्सेस की निगरानी भी करनी है, घुसपैठ का पता लगाना है, सिस्टम में जगह है जो एक ब्रीच की स्थिति में केवल प्रभावित लोगों को सूचित कर सकते हैं (और निर्धारित करें कि क्या डेटा समझौता किया गया हो सकता है), आदि।
फिर, सर्वर, नेटवर्क आदि के लिए भौतिक पहुंच है। इसका मतलब है कि एक लॉक किया हुआ कैबिनेट जो सर्वरों पर साझा नहीं किया जाता है जो आपके पास है जहां भौतिक LAN भी सुरक्षित है। अनुपालन सस्ता या आसान नहीं होने जा रहा है।
वास्तव में, इसे किसी तीसरे पक्ष को लोड करने के लिए हर संभव प्रयास करें। जब तक आप लेन-देन की बात नहीं कर रहे हैं, तब तक केवल देयता केवल जोखिम के लायक नहीं है, जो मासिक के सैकड़ों (आपकी मुद्रा डालें)। उस स्थिति में, आपके द्वारा सहेजी जाने वाली फीस उन सूचनाओं को लागू करने वाली प्रणालियों को लागू करने और मॉनिटर करने के लिए आवश्यक प्रतिभा पर लाने को सही ठहरा सकती है। आपको ज़रूरत होगी:
- सिस्टम प्रोग्रामर (आपको कर्नेल और फ़ाइल सिस्टम स्तर ऑडिटिंग हुक की आवश्यकता होगी)
- आईडीएस / आईपीएस गुरु (जब तक आपको वेंडर लॉक-इन पसंद नहीं है)
- 24/7/365 स्टाफ सिस्टम से उत्पन्न अलर्ट की निगरानी करने के लिए जिसे विशेषज्ञों ने डिज़ाइन किया है। ये लोग सस्ते नहीं हैं, वे बिलिंग प्लग को खींचने या आपके द्वारा उपयोग किए जाने वाले एल्गोरिदम में बग की रिपोर्ट करने का निर्णय लेते हैं।
और फिर, आप उस सभी को एक तिहाई पार्टी पर उतार सकते हैं, काफी सस्ते में।