第一次接受信用卡。我需要做什么？

Question

我正在建立一个第一次接受信用卡的网站。

我使用 Drupal 来管理产品和存储内容，但这并不重要。我想帮助建立一个社区生成的与平台无关的信用卡接受要求列表。

我正在寻找一份清单，列出我需要准备的物品，以便安全、负责任地接受信用卡。

我已经做了相当多的研究。

下面的问题很好，但它的重点是获取商家帐户和在现场存储信用卡。我认为大多数 Web 开发人员和中小型组织不需要这样做： Payment Processors - What do I need to know if I want to accept credit cards on my website?

这是我认为我需要的：

1. 固定 IP 地址和 SSL 证书（通过网络主机购买，很容易做到）
2. 在所有购物车和结帐页面上启用 HTTPS（Drupal 功能）
3. 与支付处理商（Stripe、Authorize.net、Paypal Pro）建立关系
4. 开发网站以匹配支付处理器 API（对我来说，这意味着 Drupal 模块）
5. 测试交易
6. 翻转直播
7. 做更多的测试交易

这真的是接受信用卡的全部内容吗？我错过了什么吗？

Answer 1

至少我会在您的服务中添加某种对关键活动的实时监控。密码尝试失败、虚假 URL 和 URL 参数、交易数量/美元金额等。这些指标可以帮助您在恶意行为成为问题之前发现它。

您还需要考虑帐户安全性、如何存储密码（使用 BCrypt 或类似方法进行加盐和哈希处理）和其他个人身份信息。

我会认真地重新考虑存储信用卡信息。即使您愿意遵守 PCI-DSS (http://en.wikipedia.org/wiki/PCI_DSS) 的要求，使用处理器提供的结帐服务也容易得多。

技术要求不是很困难。由于违规而远离聚光灯要困难得多。我经营一家每天处理数千笔交易的公司......这是可能的，但需要持续关注大量风险因素。

如果你选择继续，我会在你上线之前投资一些高质量的道德黑客，以确保你没有错过任何东西。

祝你好运。

Answer 2

基本上，你所说的涵盖了它。也就是说，Baldy 加强安全性的建议是正确的——你正在做交易，这会影响隐私和安全，所以把事情搞定。至于持有信用卡数据，很可能您将使用支付网关，该网关将用户往返于他们的服务器并返回您的网站——信用卡详细信息实际上不会保留在您的网站上——所以不要通过添加您自己的收集敏感数据的表单（或修改您的用户页面）来结束此保护。