我有一个客户希望能够让新客户在线注册以获取送货服务,以便能够提交他们的信用卡信息。获取信息后,客户将手动将此信息输入其零售店的 POS 系统。客户不想为客户提供在线支付、存储信用卡数据或其他任何东西的能力。他们只想让客户通过标准的网络表单提交他们的卡信息。为了安全地完成这项工作,需要进行什么加密?(顺便说一句......我正在将这项任务外包给另一个人,但我需要尽快得到这个问题的答案,这样我才能让我的客户了解它的参与程度。)我试图说服我的客户使用服务,而不是在本地设置,
谢谢
PS:有推荐的服务吗?您会建议我避免使用哪些服务吗?(感谢 BTW 的所有答案,我非常感谢大家的时间。)
我不能足够强调这是高度“参与”的。
您需要符合 PCI DSS,因为您将处理卡数据。PCI DSS 是涉及的定义。我也不确定您与实际将这些数据复制到 PoS 的人的立场,但我可以想象生成包含此步骤的投诉流程将非常困难。
数据需要在传输过程中得到保护,这意味着将 SSL/TLS 服务器配置为仅支持强大的、不易受攻击的密码、协议和其他配置设置。您需要购买 SSL/TLS 证书并保持最新状态。此外,您需要考虑 Web 服务器之外的任何传输加密……例如,您绝对不能将此数据通过电子邮件发送到您的复制打字机。
数据需要在静止时得到保护(如果不立即传递给单独的支付处理器,则需要在某个时候处于静止状态)。这意味着所有卡的详细信息都需要使用强大的方案进行加密,很可能涉及对称和非对称形式。需要对密钥进行安全管理,以防止数据被访问。
需要建立一个安全的卡片数据环境(CDE)——一个与其他业务领域隔离的高度安全的网络。对此的访问需要受到严格控制。
Web 应用程序(表单)和网络基础设施都需要定期测试/审查安全漏洞,然后必须对其进行管理和解决。
这实际上只是表面问题。尝试 PCI DSS 要求,全面了解安全处理卡数据所涉及的步骤。
使用已经经历过这些过程的第三方服务会更容易和更便宜,特别是对于小型操作。为了极其易于使用,可以使用像PayPal这样的开箱即用服务。如果您对使用自己的表单感兴趣,请考虑使用像Stripe这样可以处理后端和安全性的服务。这些服务已经符合 PCI 标准。
好的....让我们假设一个人将继续执行以下计划:
除了非常低效之外,这里还有 BSD(可怕的大细节):
此外,您的客户现在可以查看卡片是否被拒绝,并弄清楚如何处理这些情况......在购买时做出批准/拒绝决定时会更好。
上面的东西很笼统,我假设这是一家小企业,所以我会去这里了解更多细节。它们很可能在此处属于 D 类,这意味着您需要在此处使用 SAQ D v2.0。
如果您的客户在您将PCI SAQ-D 文档交给他后没有弄脏自己……运行。
您必须完全符合 PCI-DSS,这将比整个项目的成本高出几个数量级。如果没有完全符合 PCI-DSS 要求,他们将违反其商家服务协议以电子方式获取数据,这需要满足很长的要求列表。对于您正在谈论的项目来说,这简直太复杂了。
对于初学者,您必须拥有一个完整的分段网络,将支付详细信息服务器与其他任何东西隔离开来,并且它必须转储,一种进入隔离网络以存储和使用信用卡信息的方式。然后必须提取并手动输入该信息以进行处理。我们正在为一个知道自己在做什么的熟练开发人员谈论数月的全职开发人员工作,所以如果是咨询工作,您很可能会谈论数万美元的预算,只是为了支付表格,而不是提及所需硬件的硬件和网络成本。
对他们来说,使用商家网关来提供信用卡处理会便宜得多,更不用说更快、更高效了。在这种情况下,他们可以将交易详细信息转发给支付服务提供商,然后只取回付款的收据确认。费率不会比他们为无卡交易支付的费率低很多。
我认识一个小供应商,他在 1991 年开始通过电话接受信用卡订单。数字是手动输入带有 POS 软件的 PC,该软件通过调制解调器拨打卡网络 800 号码,至今仍在使用。1996 年,他们建立了一个网站并开始使用纯 HTTP 捕获订单表格上的卡号,服务器仅将其保存在文本文件中。这些订单被手动复制并输入到 POS。2011 年,一名员工在 275 美元的记事本上下载并安装了一个小型 SSL 服务器,这样他们就有了一些东西可以提供订单页面(因为客户一直要求 HTTPS 来“保护”他们的订单),否则他们的操作仍然是相同的。他们每天只处理少量信用卡订单,并且不使用网络进行信用卡处理。PCI 不会打扰他们,他们也不会