क्रेडिट कार्ड का विवरण संग्रहीत करना


60

मुझे हमारे तीसरे पक्ष के व्यापारी के माध्यम से आवर्ती बिलिंग के लिए क्रेडिट कार्ड नंबर स्टोर करने की आवश्यकता है।

क्या विवरणों के भंडारण के संबंध में मुझे कोई मानक अपनाने की आवश्यकता है? हम वर्षों से क्रेडिट कार्ड स्वीकार कर रहे हैं, लेकिन जैसे ही हम उनके साथ काम करते थे, हम उनका विवरण छोड़ देते थे। हमारे ग्राहकों ने अनुरोध किया है कि हम उनके विवरण संग्रहीत करते हैं ताकि उन्हें हर महीने अपनी सदस्यता शुल्क का भुगतान न करना पड़े।

अपने सब्सक्रिप्शन का उपयोग करने के लिए पेपाल पर जाना एक विकल्प नहीं है। हमें उन्हें संग्रहीत करना होगा, और मुझे यह सुनिश्चित करने की आवश्यकता है कि भंडारण सुरक्षित है!

हम अपने डेटा के लिए MSSQL 2005 का उपयोग करते हैं, और सब कुछ पहले से ही SSL'd है।

जवाबों:


86

आपको (पत्र को) अनुसरण करना होगा और अधिमानतः PCI DSS मानक को पार करना होगा । यह किसी भी तरह से पूरा करने के लिए एक आसान काम नहीं है और न ही इसे तुच्छ रूप से लिया जाना चाहिए।

मैं दृढ़ता से अनुशंसा करता हूं कि आप एक तृतीय पक्ष प्रोसेसर पाते हैं जो आपके लिए इसे संभाल सकता है और इसे आपके बिलिंग सिस्टम में एकीकृत कर सकता है। यह सिर्फ SSL होने और डेटाबेस में जानकारी एन्क्रिप्ट करने से परे हो जाता है। आपको एक्सेस की निगरानी भी करनी है, घुसपैठ का पता लगाना है, सिस्टम में जगह है जो एक ब्रीच की स्थिति में केवल प्रभावित लोगों को सूचित कर सकते हैं (और निर्धारित करें कि क्या डेटा समझौता किया गया हो सकता है), आदि।

फिर, सर्वर, नेटवर्क आदि के लिए भौतिक पहुंच है। इसका मतलब है कि एक लॉक किया हुआ कैबिनेट जो सर्वरों पर साझा नहीं किया जाता है जो आपके पास है जहां भौतिक LAN भी सुरक्षित है। अनुपालन सस्ता या आसान नहीं होने जा रहा है।

वास्तव में, इसे किसी तीसरे पक्ष को लोड करने के लिए हर संभव प्रयास करें। जब तक आप लेन-देन की बात नहीं कर रहे हैं, तब तक केवल देयता केवल जोखिम के लायक नहीं है, जो मासिक के सैकड़ों (आपकी मुद्रा डालें)। उस स्थिति में, आपके द्वारा सहेजी जाने वाली फीस उन सूचनाओं को लागू करने वाली प्रणालियों को लागू करने और मॉनिटर करने के लिए आवश्यक प्रतिभा पर लाने को सही ठहरा सकती है। आपको ज़रूरत होगी:

  • सिस्टम प्रोग्रामर (आपको कर्नेल और फ़ाइल सिस्टम स्तर ऑडिटिंग हुक की आवश्यकता होगी)
  • आईडीएस / आईपीएस गुरु (जब तक आपको वेंडर लॉक-इन पसंद नहीं है)
  • 24/7/365 स्टाफ सिस्टम से उत्पन्न अलर्ट की निगरानी करने के लिए जिसे विशेषज्ञों ने डिज़ाइन किया है। ये लोग सस्ते नहीं हैं, वे बिलिंग प्लग को खींचने या आपके द्वारा उपयोग किए जाने वाले एल्गोरिदम में बग की रिपोर्ट करने का निर्णय लेते हैं।

और फिर, आप उस सभी को एक तिहाई पार्टी पर उतार सकते हैं, काफी सस्ते में।


हम्म, हम पहले से ही आधे रास्ते में हैं क्योंकि हम अपने क्लाइंट की ओर से संवेदनशील जानकारी (डीआरजेड पर लॉक सर्वर और घुसपैठ का पता लगाने और IPSec पहले से ही मौजूद हैं) से निपटते हैं। मैं एक अच्छा पढ़ा हूँ, धन्यवाद।
मार्क हेंडरसन

@ फ़र्सेसेर - अवैध पहुँच को रोकने से परे, सबसे महत्वपूर्ण हिस्सा इसका पता लगा रहा है और यह पता लगा रहा है कि क्या समझौता किया गया होगा और जिसे बहुत जल्दी अधिसूचित करने की आवश्यकता है। ध्यान दें, इसमें डेटाबेस के साथ-साथ उन फ़ाइलों की अनधिकृत प्रतिलिपि शामिल होगी।
टिम पोस्ट

5
तथ्य यह है कि अब आप क्रेडिट कार्ड डेटा को संभाल रहे हैं, भले ही आप इसे स्थायी रूप से संग्रहीत नहीं कर रहे हों, इसका मतलब है कि आपको पीसीआई डीएसएस का अनुपालन करने की आवश्यकता है।
स्टीफन जेनिंग्स

@ स्टेफेन - पीसीआई के आते ही हैंडलिंग और स्टोरिंग पूरी तरह से अलग चीजें हो जाती हैं। सिर्फ हैंडल करने का मतलब है कि गेटवे के लिए कुछ डेटा पोस्ट करना और प्रतिक्रिया की प्रतीक्षा करना। भंडारण कीड़े की अपनी अनूठी इच्छा है।
टिम पोस्ट

PCI DSS आवश्यकताएँ 3.2 इंगित करता है कि ट्रैक और सत्यापन कोड को एन्क्रिप्ट किए जाने के बाद भी संग्रहीत नहीं किया जा सकता है और इसमें डेटाबेस के लिए लेन-देन लॉग सहित सभी लॉग शामिल हैं।
Leigh Riffel

23

क्रेडिट कार्ड के विवरण को कभी भी स्टोर करना एक अच्छा विचार नहीं है । आप बस एक गिरावट के लिए खुद को स्थापित कर रहे हैं, कोई भी सभ्य भुगतान गेटवे आपको एक टोकन के साथ आवर्ती लेनदेन करने की अनुमति देगा जहां आपको क्रेडिट कार्ड विवरण संग्रहीत नहीं करना है।


3
+1 अपने डेटाबेस में कभी भी CC संग्रहीत करने के विचार के लिए नहीं। हमारा भुगतान गेटवे प्रदाता अब वह सारी जानकारी संग्रहीत करता है, जो हमारे सुरक्षा जोखिम पर भारी राहत है।
मिलनर

एक उदाहरण के लिए, ऐसे ही एक भेंट Authorize.net ग्राहक सूचना प्रबंधक (CIM) है authorize.net/solutions/merchantsolutions/merchantservices/cim और के बाद से आवर्ती बिलिंग स्वचालित आवर्ती बिलिंग (एआरबी) उल्लेख किया गया था authorize.net/solutions/merchantsolutions/merchantservices/ ... आप उन्हें स्टोर कर सकते हैं, लेकिन वे कभी सुरक्षित नहीं रहेंगे। अंत में आप इस बारे में भुगतान करेंगे कि सेवाओं ने आपको खोई हुई प्रतिष्ठा, खोई हुई बिक्री, अपने प्रोसेसर से जुर्माना और किसी भी मुकदमे में क्या खर्च होगा जो डेटा समझौता से आता है।
फ़िस्को लैब्स

13

आपके द्वारा मांगे गए कई उत्तर भुगतान कार्ड उद्योग अनुपालन गाइड वेबसाइट पर पाए जा सकते हैं । उनका लिंक पृष्ठ विशेष रूप से उपयोगी है।

सबसे अच्छा सुझाव यह होगा कि किसी तीसरे पक्ष को इस भंडारण को संभालने दिया जाए।


मैंने देखा है कि इस पीसीआईघड़ी को कुछ सालों के लिए इधर-उधर फेंक दिया गया था, कभी भी इस बात का अंदाजा नहीं था कि यह वास्तव में क्या है। धन्यवाद।
मार्क हेंडरसन

8

क्या आपके तीसरे पक्ष के व्यापारी को निरंतर क्रेडिट कार्ड भुगतान के लिए विकल्प शामिल नहीं है - ब्रिटेन में अधिकांश प्रमुख यहाँ निश्चित रूप से करते हैं (डेटाकैश, आरबीएस विश्व वेतन, आदि)।

मूल रूप से, आप CCC प्राधिकरण के अनुरोध के साथ, उनके पास एक बार कार्ड का विवरण प्रस्तुत करते हैं (जो, यदि मुझे याद है कि अपेक्षित शेड्यूल और नियमित राशि शामिल करने की आवश्यकता है), और फिर आप उनसे एक टोकन प्राप्त करते हैं। फिर हर महीने / जो भी आप टोकन के साथ व्यापारी को मतदान करते हैं, और वे आपके लिए बाद के लेनदेन की प्रक्रिया करते हैं - आम तौर पर चर, तदर्थ अनुरोधों के लिए इन्हें स्थापित करने की सुविधा भी होती है। आपके अंत में मुख्य आवश्यकता ग्राहक को भुगतान करने से पहले (आमतौर पर कम से कम 10 दिन) सूचित करना है।

इस तरह, आप कहीं भी CC विवरण संग्रहीत नहीं कर रहे हैं, यह सब उन लोगों द्वारा नियंत्रित किया जा रहा है जो आवश्यकताओं को पूरा कर चुके हैं।

यह एक कार्ड पर प्री-ऑथोराइजेशन करने के समान है, इसलिए आपको कभी भी क्रेडिट कार्ड को स्टोर नहीं करना चाहिए, बस मर्चेंट से एक टोकन जिसे आप आवश्यकतानुसार कॉल कर सकते हैं।


4

हमें उन्हें संग्रहीत करना होगा, और मुझे यह सुनिश्चित करने की आवश्यकता है कि भंडारण सुरक्षित है!

एक सवाल: क्यों?

मैं केवल यही पूछता हूं क्योंकि मुझे खुद पीसीआई से निपटना है, और इसे बनाए रखना एक दर्द है। भले ही मेरा दैनिक कार्य पीसीआई अनुपालन के लिए सबसे कम पायदान के रूप में हमें योग्य बनाता है, फिर भी इसमें बहुत कुछ है। एन्क्रिप्शन, कम से कम विशेषाधिकार प्राप्त विचार, सर्वर ओएस सुरक्षा, आंतरिक नेटवर्क सुरक्षा, सीमा सुरक्षा, तीसरे पक्ष के ऑडिट ... यह सब बहुत कुछ है। और यह भी हमारे साथ क्रेडिट कार्ड की जानकारी संग्रहीत नहीं है!

(सिडेनोट: यदि आप ई-कॉमर्स कर रहे हैं, तो आपको पीसी डेटा का भंडारण नहीं करने पर भी पीसीआई का अनुपालन करना होगा। यदि आपको अब शिकायत नहीं है, तो अपने आप को भाग्यशाली समझें कि यह आपको अभी तक काट नहीं पाया है।)

अपने प्रोसेसर को संभालने में देखें। हम Authorize.net का उपयोग करते हैं और उनके पास एक अद्भुत एपीआई है ताकि हम अपने स्वयं के कस्टम फ्रंट-एंड का निर्माण कर सकें, लेकिन वे वास्तविक भुगतान के साथ भंडारण और व्यवहार करने का ध्यान रखते हैं। यदि हम पुनः बिलिंग बिलिंग सेट करना चाहते हैं, तो उनके पास जानकारी संग्रहीत करने के लिए एक प्रणाली है। ईमानदारी से, मैं उन पर अधिक भरोसा करता हूं, जितना मुझे खुद पर भरोसा है।


4

जैसा कि अन्य लोगों ने उल्लेख किया है, आप PCI-DSS की तलाश कर रहे हैं। जैसा कि अन्य लोगों ने उल्लेख किया है, अनुपालन छोटे साइटों के लिए निषेधात्मक रूप से महंगा होने की संभावना है।

अपने सब्सक्रिप्शन का उपयोग करने के लिए पेपाल पर जाना एक विकल्प नहीं है। हमें उन्हें संग्रहीत करना होगा, और मुझे यह सुनिश्चित करने की आवश्यकता है कि भंडारण सुरक्षित है!

आप स्थानीय रूप से एक आईडी स्टोर कर सकते हैं जो आपके भुगतान गेटवे पर ग्राहक के क्रेडिट कार्ड की जानकारी की पहचान करता है। मुझे यकीन नहीं है कि पेपल इस विकल्प को प्रदान करता है लेकिन अन्य भुगतान गेटवे हैं जो करते हैं।

यह भी ध्यान रखें कि यदि आप क्रेडिट कार्ड डेटा को डिस्क पर संग्रहीत नहीं कर रहे हैं तब भी आप कुछ पीसीआई-डीएसएस आवश्यकताओं के लिए गुंजाइश में हैं। अब तक अनुपालन करने का सबसे आसान तरीका कोई भी सीसी डेटा नहीं है (यानी: भुगतान फॉर्म को सीधे भुगतान गेटवे पर पोस्ट करके)।


3

Http://chargify.com/ जैसी सेवाएं मौजूदा भुगतान गेटवे के ऊपर एक अतिरिक्त परत प्रदान करती हैं। वे संभवतः आपके लिए क्रेडिट कार्ड स्टोर करने, आवर्ती भुगतानों को लागू करने और यहां तक ​​कि आपके लिए रिपोर्ट बनाने के सभी प्रकार की पेशकश करेंगे।

यह आपको संपूर्ण दायित्व और पीसीआई अनुपालन मुद्दे को दरकिनार कर देगा। एक चिंता मुझे यह है कि क्या एक दिन आप वेंडर, मर्चेंट अकाउंट या गेटवे बदलना चाहते हैं। आप अपने 10,000 ग्राहकों को अपने साथ कैसे ले जाते हैं? क्या वे क्रेडिट कार्ड का डेटाबेस सौंपते हैं? क्या क्रेडिट कार्ड की जानकारी खत्म करने के लिए प्रतियोगी के साथ काम किया जाएगा?

मुझे शक है। यदि आप प्रदाता बदलते हैं तो आपको अपने सभी ग्राहकों को अपनी बिलिंग जानकारी फिर से जमा करने के लिए कहना होगा। क्रेडिट कार्ड की जानकारी को स्वयं संग्रहीत करने के पक्ष में यह एक छोटा तर्क है। शायद केवल इसके लायक है यदि आप बहुत सारे ग्राहक और बहुत अधिक राजस्व प्राप्त करने जा रहे हैं। मैं इस विशेष पहेली पर अन्य लोगों के विचारों को सुनने के लिए बहुत उत्सुक हूं।


यह बहुत अच्छी बात है, मैंने ऐसा नहीं सोचा था। हम लगभग 5-6 वर्षों से SecurePay का उपयोग कर रहे हैं और उनके साथ कोई चिंता नहीं है, इसलिए मुझे लगता है कि हम उनके साथ चिपके रहेंगे, लेकिन कौन जानता है कि भविष्य क्या है ...
मार्क हेंडरसन

2

मेरे पास अभी तक टिप्पणी या टिप्पणी करने के लिए पर्याप्त प्रतिनिधि नहीं है, इसलिए यह एक नए उत्तर में जा रहा है। जैसा कि ज़ाफ ने बताया , कई व्यापारी कंपनियां आवर्ती भुगतान प्रणाली प्रदान करती हैं, जहां वे आपके लिए भंडारण संभालती हैं।

हम PayPal का उपयोग करने के लिए तैयार किसी भी ग्राहक के लिए Authorize.net का उपयोग कर रहे हैं और यह काफी अच्छी तरह से काम कर रहा है (हमारी एकमात्र बड़ी शिकायत यह है कि एपीआई कुंजी हर 6 महीने में रीसेट हो जाती है और ऐसा होने पर वे आपको सूचित करने की जहमत नहीं उठाते हैं, इसलिए पेज बस काम करना बंद कर देता है)। उनका एपीआई XML आधारित है और आप इसके लिए रैपर को हर भाषा में देख सकते हैं।


1

ध्यान दें कि यदि आप क्रेडिट कार्ड की जानकारी को अपने स्वयं के डीबी में स्टोर करने का निर्णय लेते हैं, तो आपको किसी भी परिस्थिति में 3 अंकों के कार्ड सुरक्षा कोड को स्टोर नहीं करना चाहिए । ऐसा करना कार्ड संघों द्वारा सख्त वर्जित है।

BTW, लेन-देन करने के लिए आपको कार्ड सुरक्षा कोड की आवश्यकता नहीं है। यह धोखाधड़ी का पता लगाने की दर में सुधार करता है, लेकिन ग्राहक के साथ संबंध रखने पर आपको इसकी आवश्यकता नहीं होनी चाहिए। (और यहां तक ​​कि अगर आपको लगता है कि आपको इसकी आवश्यकता है, तो आप इसे स्टोर नहीं कर सकते। कोई बात नहीं।)

मैं भी जानकारी संग्रहीत नहीं करने के लिए अन्य अनुशंसाएँ। Authorize.Net का ग्राहक सूचना प्रबंधक प्रयोग करने में आसान और सस्ता है। अपने सर्वर पर जानकारी संग्रहीत करने में निहित पीसीआई लागत के बजाय इसका उपयोग करने के लिए आपके लिए यह बहुत सस्ता होगा।


1

यदि आप अपने डेटाबेस में क्रेडिट कार्ड स्टोर करने जा रहे हैं, तो एन्क्रिप्शन कुंजी है। आप यह भी चाहते हैं (या हो सकता है) कि आपके सिस्टम को सूंघना सुनिश्चित करने के लिए एक थर्ड-पार्टी रूटीन कम्प्लायंस टेस्टिंग हो।


5
लेकिन अपने डेटाबेस में CC स्टोर न करें। मत करो।
dimo414

एन्क्रिप्शन केवल शुरुआत है। अपने लागू SAQ (स्व मूल्यांकन प्रश्नावली) pcisecuritystandards.org/merchants/self_assessment_form.php डाउनलोड करें और पता लगाएं कि डेटाबेस एन्क्रिप्शन आवश्यकताओं की सूची से काफी नीचे है। क्रेडिट कार्ड क्रेडेंशियल्स को लीक करने के बहुत सारे तरीके हैं जो आपने क्रेडिट कार्ड भंडारण से संबंधित नहीं हैं।
Fiasco Labs
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.