我们有一个物理产品,每2个月,3个月或4个月发货一次,具体取决于客户的喜好。在两次发货之间,用户可以选择修改他们的选择。
在任何人建议之前 - 我很确定定期结算系统(例如Paypal)不适合我们的需求。出于两个原因,像Paypal这样的系统似乎并不理想。
因此我认为我们必须使用与创建初始订单时相同的机制重新填充 - 使用CC numebr和CVV2代码。但显然我们无法存储符合PCI标准的CVV2代码!!
我最近遇到了'BrainTrees' payment services - 它允许您创建初始交易并检索表示该信用卡号的“令牌”。该令牌可以安全存储,因为它对小偷来说是无用的。它有助于最大限度地减少PCI合规所需的工作。
使用BrainTree的解决方案我完全没问题。它似乎是我们需要的完美 - 但它让我对Paypal的产品感到困惑。除了BrainTree之外,我怎样才能实现我想要使用的任何系统而不必存储CVV2代码?
答案 0 :(得分:6)
您可能已经知道cvv2用于avs / csc检查,这是通过从客户地址获取数字,来自post / zipcode的数字和来自cvv2的数字并将它们与已知值保持一致来完成由发卡机构发布。
avs / csc检查的结果返回一个三位数值,让您知道地址/ cvv2值是否与发卡机构保存的值相匹配。然后,可以使用此检查的结果来帮助防止欺诈性交易。
因此,解决无法存储实际cvv2代码问题的常用方法是存储cvv2 结果。通过这种方式,您可以相当自信,只要地址未被更改,该卡仍然有效。这种方法的唯一缺点是一些收购银行认为没有cvv2检查执行的授权是不安全的,并且收取更高的交换率。您可能需要与您的收单方讨论这个问题,以解释只有第一次授权是使用cvv2检查执行的,而后续的授权则不是。
尽管如此,如果您改为使用允许您持有令牌值而不是实际卡号的服务提供商,您会发现PCI合规性要容易得多。
定期付款的另一个问题是我不确定您是否考虑过这个问题是随着时间的推移卡会过期,被取消或重新发行。 Visa和MasterCard都有一个名为Visa Account Updater或MasterCard Automatic Billing Updater的相对较新的服务来处理这个问题。它是您需要与收单银行组织的东西,或者如果你去PSP路线它可能会自动处理 - 但值得检查。
答案 1 :(得分:3)
已经有一段时间了,因为我不得不做这样的事情......而且 我只使用过Verisign Payflow API。你可能想看一下。
据我所知,支付网关强烈建议不要存储卡详细信息。
建议的机制是使用原始交易中的参考编号,然后将新交易链接到该交易;它必须与Brain Tree处理它的方式非常相似。
答案 2 :(得分:2)
大多数网关不需要cvv工作。该代码实质上意味着“信用卡存在”,不应用于重复交易。
Braintree似乎是一个非常好的选择,如果你不想要符合PCI的麻烦(我必须这样做,不是很难,但需要创建相当多的过程)
答案 3 :(得分:0)
本文解释了有关CVV2号码重复计费的问题,并且值得一读: http://kb.modularmerchant.com/a378-credit-card-security-codes.php