我正在建立一个拍卖网站,每个出价收取少量费用。 可以选择购买投标银行,并且可以选择单独为每个投标付款。
为每次出价付款时 - 我不想让用户每次都重新输入信用卡信息。另一方面,我肯定不想在DB上存储信用卡信息,我已经读过将它保存为会话变量是不安全的,更不用说cookie了。
客户信用卡处理公司也不能存储信用信息。 当然,用户在SSL下输入所有cc信息。
那么,它甚至可能吗?是否有安全(/更安全)的方式在会话中存储cc信息?
由于
答案 0 :(得分:4)
现在,大多数支付网关都会提供服务,您可以在其中向其发送卡详细信息,并返回令牌ID。当您想要执行授权或对卡进行最终付款时,您只需发送令牌ID即可。这对于帮助缓解因使用卡进行付款而产生的PCI-DSS负担非常有益,因为您只存储良性令牌ID,而不是任何卡详细信息。
这将允许您捕获卡片详细信息一次,然后根据需要随时进行授权。但值得保持频率尽可能低,因为支付网关通常会按照授权收费。
考虑到这一点,出价频率如何?可能值得总结用户每日出价,然后每天/每周/每月授权/收费,或者达到某个值阈值时。
答案 1 :(得分:0)
您可以在数据库中存储部分信用卡信息,但这不包括CVV2数据(卡背面的3位数字代码)。我相信您可以存储的所有信息都需要加密 - 请在此处查看信息https://www.pcisecuritystandards.org/index.shtml
根据我的经验,我发现设置实时系统更容易,每次都让客户填写他们的详细信息 - 我发现它不那么麻烦