存儲客戶的付款細節 - PCI合規性

Question

我的工作有一個新的客戶的一個項目，他們已經遇到了一些問題得到處理，由於業務類型的在線支付商家賬戶。該系統的工作方式與Just Eat/Expedia等類似，客戶在網站上訂購，然後傳遞到場地，網站將獲得佣金。

客戶問我們是否可以存儲在我們的數據庫（加密）客戶付款詳細信息，然後將它們傳遞到會場使用他們的內部卡系統處理自己。我知道PCI合規性問題與此有關，但我無法直接回答我們需要做的事情。我已經和幾家託管公司談過話了，有人說我們需要一個擁有單獨的Web和數據庫服務器的集羣，而另一個則說我們不會。我從來沒有做過這樣的事情之前，我通常只是從農場支付處理你這樣的人SagePay等

這是所提出的支付流程：

• 客戶下達訂單在網站上
• 付款細節存儲在數據庫中
• 客戶通過電子郵件發送訂單確認。會場通過電子郵件發送訂單通知。如果場地接受訂單，訂單和付款細節的內部離線處理
• 一旦場地已採取內部支付傳遞，訂單確認和付款細節從站點數據庫
• 客戶通過電子郵件發送刪除最終訂單確認

我要確保任何處理是正確的，我想的最後一件事是被攻擊的部位，採取的付款細節，並留下承擔任何損失！

任何意見將不勝感激。

Answer 1

您未能包含實際問題......

但是：PCI遵從性並非平凡;有多個級別的合規性，並且standards有點密集...一般來說，只要您不存儲付款細節，遵守相對容易。如果您確實存儲付款詳情，您的合規要求將變得更加複雜，並且可能包括諸如審覈員工等流程。

您打算將支付細節轉移到場館看起來像一個巨大的紅旗 - 您基本上將信用卡資料提供給第三方，我作爲消費者不會感到高興，並且幾乎肯定不允許任何PCI標準。

值得一說話你有選擇的專業的支付網關提供商 - 例如，大多數信用卡交易由一個「授權」的號召，它提交信用卡詳細資料和數額;該服務檢查該卡是否有利於金錢，並且「圈定」帳戶上的金額，並且發回授權碼。實際的「結算」可能會在稍後發生 - 對於某些卡最多可能需要10天，並且只能使用授權碼，而不能使用完整的卡詳細信息。專業支付提供商會知道您有什麼選擇。

它可能會爲你與你的場館共享授權碼，允許他們採取的付款（儘管這幾乎肯定會要求您都使用相同的網關提供商）。

這將是簡單的改變你提到包括認證/解決邏輯流程：

• 客戶下達訂單在網站上使用信用卡的詳細信息，商店授權碼
• 網站的相關問題「權威性」。
• 客戶通過電子郵件發送訂單確認。
• 會場通過電子郵件發送訂單通知。
• 如果場地接受訂單，你執行「擺平」交易
• 您確認訂單詳細場地
• 客戶通過電子郵件發送一個最終訂單確認
• 每週/每月/不管你發給各會場的報告顯示未付金額並向他們發送支票或任何東西。

Answer 2

另一種方法是將信用卡信息的存儲完全從您的手中拿出來，並將其負擔轉移給其他有專業知識和經驗的人，同時讓您輕鬆向客戶收費必要。 Authorize.Net提供他們的Customer Information Manager API，允許您爲您的客戶創建付款資料。他們處理信用卡信息的存儲併爲您提供付款ID。然後，您可以根據需要對付該付款ID，而無需訪問實際的付款細節。