我即將繼承和設計一個設計很差的小型商業零售網站。除此之外,最令人關注的是目前的信用卡處理。在線信用卡存儲?
目前,所有者從在線訂單中檢索信用卡信息(姓名,號碼,CVV2和到期日期),並將所有信息以明文形式保存在MySQL數據庫中。然後通知將被髮送到他的電子郵件,有人已經下令。此後,他有一個管理後端頁面,他查看他用來與他自己的商家離線處理的訂單和信用卡信息。
從後端頁面檢索信息後,信用卡號碼和CVV2立即被刪除(自動調用PHP腳本)。如果該頁面在7天內未被訪問,該信息也將被刪除。因此,在事務處理之前七天內,所有信息都有可能以純文本形式存在數據庫中。
這似乎不是一個好的設計,可能是非法的。如果它是非法的,我將不得不將這件事告訴他,因爲他還沒有意識到這一點。
我的問題:除了不安全之外,這是非法還是違反使用條款(PCI DSS)?如果是這樣的話,我怎麼能向他證明這一點,以便他能夠改變他的方式(顯然,我不想把我的手放在非法的東西上。另外,有時使用條款的措辭可以似乎是主觀的)?最後,解決此問題的最佳選擇是什麼(第三方在線商家,符合PCI DSS標準或其他)?
你在哪個國家? – 2010-02-10 22:10:37
我在美國。 – 2010-02-10 22:25:24
我投票結束這個問題作爲題外話,因爲它是一個法律問題,而不是一個編程問題。 – durron597 2015-05-26 18:49:20