我正在建立一个首次接受信用卡的网站。
我正在使用Drupal来管理产品和存储内容,但这并不重要。我想帮助构建一个社区生成的平台无关的信用卡接受要求列表。
我正在寻找一份清单,说明为了安全负责地接受信用卡,我需要做的事情。
我做了大量的研究。
以下问题很好,但重点是获取商家帐户并在网站上存储信用卡。我认为大多数Web开发人员和中小型组织不应该这样做: Payment Processors - What do I need to know if I want to accept credit cards on my website?
这就是我认为我需要的东西:
这真的是接受信用卡吗?我错过了什么吗?
答案 0 :(得分:1)
至少我会在您的服务中添加某种关键活动的实时监控。密码尝试失败,虚假URL和URL参数,交易数量/金额等等。这些类型的指标可以帮助您在恶意行为成为问题之前捕获它们。
您还需要考虑诸如帐户安全性,如何存储密码(使用BCrypt或类似的东西进行盐渍和散列)以及其他个人身份信息等事项。
我会认真考虑存储信用卡信息。即使您愿意遵守PCI-DSS(http://en.wikipedia.org/wiki/PCI_DSS)要求,也可以更轻松地使用处理器提供的结账服务。
技术要求并不十分困难。由于违规而远离瞩目的风险要困难得多。我经营的公司每天处理数千笔交易......这是可能的,但需要相当多的持续关注才能掌握风险因素。
如果您选择继续,我会在您上线之前投资一些质量道德黑客,以确保您不会遗漏任何内容。
祝你好运。答案 1 :(得分:1)
基本上,你所声明的内容涵盖了它。也就是说,Baldy建议加强您的安全性 - 您正在进行交易,并且具有隐私和安全隐患,因此请将事情搞砸。至于持有信用卡数据,您可能会使用支付网关,该网关将用户往返服务器并返回您的网站 - 实际上不会在您的网站上保留任何信用卡详细信息 - 所以不要通过添加收集敏感数据的自己的表单(或修改用户页面)来完成此保护。