我將很快使用電子商務網站在線支付。 這是一種名爲'mercanet'的解決方案,由Atos Solutions提供並與BNP Paribas銀行一起使用。 它將使用二進制文件來執行請求,並且就我閱讀文檔而言,我只需向文件提供一些信息,然後獲取結果數組。我應該在我的電子商店中存儲信用卡信息嗎?
我想知道是否有任何理由來存儲信用卡信息?因爲如果沒有任何需要,我不會冒險存儲它們,甚至會被加密(因爲如果解密它是無用的,而且我們可以解密,那麼理由很明顯)。
謝謝
編輯:該compagny總部設在法國,但銷往世界各地。
一般規則是:從不存儲信用卡信息。如果出現問題,承擔太多的責任,並且與收益相比,您將要採取的步驟數量將會很大。
在美國,我認爲它也有法律含義,但我不知道它是什麼。
存儲信用卡信息對您個人和/或您的公司構成巨大責任。最好不要承擔這種責任,除非有充分的理由或者您有資源確保數據安全。 Check out the PCI compliance standards for further information. S ome states like Minessota have statutes outlining the damages you will be liable for and I am sure the is not the only state that has law on the books like this.當心!
享受!
要求用戶在必要時重新輸入信息可能比嘗試保持安全並確保遵守所有法律更好,尤其是如果細節落入不法人員手中,風險會更大。
我建議不要存儲信用卡信息。它將要求您遵守PCI標準,這將開啓您的審覈。更不用說,如果信息被泄露,你很可能會被起訴。每次只需要用戶輸入信息。
正如其他人所說,如果可以的話,最好避免存儲信用卡信息以限制您的責任。
由於您位於法國,您應該遵循CNIL建議(無論您是在本地銷售還是在全球銷售)。我認爲主要的要求是向CNIL註冊並通知用戶您將要存儲他們的詳細信息。這裏有幾個的,可能是相關鏈接:
謝謝你的鏈接,merci :) – John 2010-08-10 21:00:25
我們始終強烈反對存儲CC的數據。
幾年前,我開始考慮與ATOS/BNP Paribas進行接口連接,現在我可以告訴你 - 這對於PCI合規性來說是一場噩夢。幸運的是,在我們開始進行任何深入分析之前,項目已經很熟了,但是從我記憶中所描述的那樣,通過授權文件(包括CSC代碼)傳遞純文本卡號。尼斯。我很確定返回文件還包含敏感信息。
我認爲每天的結算時間是相似的,純文本卡號碼(無標記ID),因此,您需要至少存儲卡號,直到結算。
我不知道PCI多遠依從性成爲強制性在法國,但對我們在英國,它是在一個地步PCI只是加快步伐,而且這個項目將是一個大難題。任何時候卡號都被保存到磁盤上,它們必須被加密,並且不像使用你最喜歡的加密程序那麼簡單。您需要考慮密鑰管理,共享密鑰持有者,密鑰輪換等。
這是可能的,因爲2007年事情發生了變化,有可能Mercanet是我們用了接口與系統(我認爲這是ATOS布盧瓦)
我肯定會熟悉的PCI要求完全不同。花大量的時間進行分析,並強烈考慮儘快引入QSA(PCI認證安全評估員)以獲得建議。
關於存儲信用卡號碼的唯一商業原因是定期付款。但是,如果您支持定期付款,則您有幾項責任: 您必須遵守商家協議的條款。大多數商家協議要求您從信用卡持卡人獲得原始簽名的常設授權。如果客戶挑戰你的收費,這一點簽名的紙將幫助你。 加密信用卡號碼是最佳做法。這是在PCI指南 限制經常性支付,以不超過一年的期限,特別是如果你有「持卡人不在場」(CNP)交易 只要協議是抹去的信用卡詳細信息的強制性要求已完成 加密的問題在於您必須能夠稍後在業務流程中解密數據。當選擇一種以加密形式存儲卡片的方法時,請記住,前端Web服務器需要解密它們的原因沒有任何理由。數據庫層列或表級加密被認爲是最佳實踐。
PCI標準建議所有的數據進行加密和CVV不存儲。 – Jay 2010-08-10 20:29:35