【发布时间】:2012-05-21 22:41:19
【问题描述】:
我正在与一位新客户合作开展一个项目,但由于业务类型的原因,他们在获取用于处理在线支付的商家帐户时遇到了一些问题。该系统的工作方式与 Just Eat/Expedia 等类似,客户在网站上下订单,然后将订单传递到场地,网站收取佣金。
客户询问我们是否可以将客户付款详细信息存储在我们的数据库中(加密),然后将它们传递到场所,以便使用他们内部的卡系统自行处理。我知道这存在 PCI 合规性问题,但我无法直接回答我们需要做什么。我与几家托管公司谈过,一家说我们需要一个具有独立 Web 和数据库服务器的集群,而另一家说我们不会。我以前从未做过这样的事情,我通常只是将付款处理外包给 SagePay 等人。
这是建议的付款流程:
- 客户在网站下订单
- 付款详情存储在数据库中
- 客户通过电子邮件收到订单确认。地点通过电子邮件发送订单通知。如果场地接受订单,订单和付款详细信息将被传输以供内部离线处理
- 场地在内部完成付款后,即确认订单并从网站数据库中删除付款详细信息
- 通过电子邮件向客户发送最终订单确认邮件
我想确保任何流程都是正确的,我最不想做的就是让网站受到攻击、支付详细信息以及对任何损失负责!
任何建议将不胜感激。
【问题讨论】:
-
只要信息是加密的,这个过程是正确和安全的。我会更担心手动处理的 pci 合规性。
-
综合参考资料可在pcisecuritystandards.org获得
-
我们根本不会与场馆的系统进行任何交互。这个想法是,他们将使用他们目前用于处理场内交易的 Chip & Pin 机器。与34sp.com/business-hosting 之类的人一起托管是否足以完成此过程,还是需要集群?谢谢
-
@Terry:明确地说,您是说场所将使用 PDQ 终端处理客户不在场的交易,并通过 HTTPS 从您的网络服务器检索交易详细信息?
-
这是个糟糕的建议,“加密信息”并非易事(要正确执行),它涵盖了与持卡人数据存储相关的大约 1% 的巨额 PCI 义务,记住有大量的卡方案在试图合规之后对违规行为处以罚款。与您的供应商商家提供的托管在线支付解决方案集成将节省您的风险和成本(正确地做到这一点将非常昂贵)。
标签: php mysql payment-processing pci-dss pci-compliance