编写我自己的端到端支付处理系统[关闭]答案

【问题标题】：Writing my own end to end payment proccessing system [closed]编写我自己的端到端支付处理系统[关闭]
【发布时间】：2011-12-21 21:37:54
【问题描述】：

对于我在大学的最后一个项目，我想编写自己的支付处理系统。它将有一个后端支付处理服务器和客户端（商家）前端。

我想让后端运行并等待来自客户端服务器（即商家）的连接/交易。然后，后端会施展魔法，向商家发送回复，说明付款是否获得授权。

我知道付款处理商和银行之间的区别。我想开发支付处理器端而不是银行，该系统也不会与任何真实银行集成或使用真实货币。

在实践中，支付处理器会与发卡银行对话并在那里获得授权。我想我可以为此使用一个简单的帐号和余额数据库表。即客户是否有足够的钱。

我希望我在这个项目上的主要关注领域是编写强大的后端服务器并同时处理请求。我还想专注于客户端和服务器之间的加密和安全等。我想研究 PCI 合规法规等。

现在是 11 月初，整个项目的最后期限是 2012 年 3 月中旬。

你们如何看待我的想法，如果有时间，你们认为我能实现一些有价值的事情吗？

【问题讨论】：

您是否还计划构建符合 ISO 8583 的消息处理程序（这是授权任务的核心）？您是否还计划添加 3DSec (VISA) 或 SecureCom (MSC) 支持？

标签： payment-gateway pci-dss

【解决方案1】：

你可能会做一个相当不错的模拟工作。在实践中，大多数支付网关都使用自己的通信方案封装了一个较低级别的交换机，这样它们就可以集成欺诈检测等增值服务。真正不需要实施低级通信标准。如果你想做一个像样的模型而不是花时间从头开始写很多东西，那就坚持使用 Java 或 .Net 更面向业务的工具。

我建议使用 IIS/.Net 或 Tomcat/JBoss/Java 进行 Web 服务定义，以定义您的授权和结算将如何工作。您可以使用 .Net/Java 核心库中提供的工具来实现 PCI DSS 所需的任何东西，而无需求助于第三方库。

【讨论】：

好的，我一直在做一些关于 PCI DSS 的阅读。我真的很想写一些合规的东西，我认为这会让我的项目得到一些严肃的认可。我找不到任何关于软件程序获得批准要求的文件。我发现的任何文件都与商家基础设施等有关。这些文件的链接或任何指导？谢谢。
您需要查看 PA-DSS（支付应用程序数据安全标准，以前称为 PABP）。如果您是创建处理信用卡的软件的软件发行商，那么这就是您寻求的认证类型。正如您所见，PCI-DSS 包含软件和基础架构。
酷，我在发表最后一条评论后不久就发现了这一点。看起来它可能是可以实现的。感谢您的帮助:)

【解决方案2】：

之前也出现过一个很相似的问题，我回答了here

不过，您可能有一些小误解。支付服务处理器（或 PSP）通常会与收单银行联系。然后（在幕后）将授权请求重定向到相关发卡机构的是收单银行。这样做是因为收单银行（您的商家使用的同一家银行）希望尝试确保您只将资金存入（或从其提取资金，用于退款）已授权的银行账户。

如果您想让软件获得认证，那么您可以对您想要支持的每家收单银行进行认证，但这需要您完全实现与商户银行的通信，以获取授权请求和日终结算.如果这只是一个模型系统，那么通过认证将是一个主要障碍，而且很可能无法按照您建议的时间表进行。

相反，我将关注 PCI-DSS 合规性带来的挑战。加密卡的详细信息很容易。编写secure key management 系统更具挑战性。总体目标是将您的卡详细信息加密到数据库中，并允许您的商家通过唯一令牌 ID 引用这些卡详细信息。这是 PSP 采用的通用模型，以便令牌 ID 可以安全地传递到您的商家/从您的商家传递，而卡详细信息本身是安全的，并且仅在与商家银行通信期间解密（用于授权/结算等）

如果您想让事情变得简单，那么您可以专注于验证来自将使用您的服务的商家的通信。您可以（例如）确保商家只尝试结算少于（或等于）已针对特定卡授权的金额。您可以采取保护措施来防止商家错误地向服务中充斥身份验证请求（这可能会迅速耗尽持卡人的可用资金！）

祝你好运，这是一个好主意，范围很广。

【讨论】：