Procesadores de pago - ¿Qué necesito saber si quiero aceptar tarjetas de crédito en mi sitio web? [cerrado]

Question

Procesadores de pago - ¿Qué necesito saber si quiero aceptar tarjetas de crédito en mi sitio web? [cerrado]

Esta pregunta habla de diferentes procesadores de pago y lo que cuestan, pero estoy buscando la respuesta a lo que tengo que hacer si quiero aceptar pagos con tarjeta de crédito?

Supongamos que necesito almacenar números de tarjetas de crédito para los clientes, de modo que la solución obvia de confiar en el procesador de tarjetas de crédito para hacer el trabajo pesado no está disponible.

PCI Data Security, que aparentemente es el estándar para almacenar información de tarjetas de crédito, tiene un montón de requisitos generales, pero ¿cómo implementarlas?

¿Y qué pasa con los proveedores, como Visa, que tienen sus propias mejores prácticas?

¿Necesito tener acceso al mando a la máquina? ¿Qué hay de protegerlo físicamente de los hackers en el edificio? ¿O incluso qué pasa si alguien tiene en sus manos los archivos de copia de seguridad con los archivos de datos de sql Server en él?

¿Qué pasa con las copias de seguridad? ¿Hay otras copias físicas de esos datos?

Consejo: Si si obtiene una cuenta de comerciante, debe negociar que le cobren "intercambio-plus" en lugar de precios escalonados. Con precios escalonados, le cobrarán diferentes tarifas basadas en qué tipo de Visa/MC se utiliza ie es decir. te cobran más por tarjetas con grandes recompensas adjuntas a ellas. La facturación de intercambio plus significa que solo paga al procesador lo que Visa / MC le cobra, más una tarifa plana. (Amex y Discover cobran sus propias tarifas directamente a los comerciantes, por lo que esto no se aplica a esas tarjetas. Encontrará tarifas Amex para estar en el rango de 3% y Descubrir podría ser tan bajo como 1%. Visa / MC está en el rango del 2%). Se supone que este servicio debe hacer la negociación por usted (No lo he usado, esto no es un anuncio, y no estoy afiliado con el sitio web, pero este servicio es muy necesario.)

Esta entrada de blog ofrece un resumen completo del manejo de tarjetas de crédito (específicamente para el Reino Unido).

Tal vez formulé la pregunta mal, pero estoy buscando consejos como estos:

Use SecurIDo eToken para agregar una capa de contraseña adicional al cuadro físico.
Asegúrese de que la caja esté en una habitación con una combinación física de bloqueo o código de llave.

255

security e-commerce pci-dss

Author: Community, 2008-09-09

Source

9 answers

Hágase la siguiente pregunta: ¿por qué desea almacenar los números de tarjetas de crédito en primer lugar? De hecho, si los almacena y logra que le roben uno, podría estar buscando una responsabilidad grave.

He escrito una aplicación que almacena números de tarjetas de crédito (ya que las transacciones se procesaron sin conexión). Aquí hay una buena manera de hacerlo:

Obtener un certificado SSL!
Crear un formulario para obtener CC# de la usuario.
Cifrar parte (no todos!) del CC# y almacenarlo en su base de datos. (Sugeriría los 8 dígitos del medio.) Utilice un método de cifrado fuerte y una clave secreta.
Envíe el resto del CC# a quien procese sus transacciones (probablemente usted mismo) con el ID de la persona a procesar.
Cuando inicie sesión más tarde, escribirá el ID y la parte enviada por correo del CC#. Su sistema puede descifrar la otra parte y recombinar para obtener el número completo para que pueda procesar la transacción.
Finalmente, elimine el registro en línea. Mi solución paranoica fue sobrescribir el registro con datos aleatorios antes de eliminarlo, para eliminar la posibilidad de un undelete.

Esto suena como mucho trabajo, pero al nunca grabar un CC# completo en ningún lugar, hace que sea extremadamente difícil para un hacker encontrar algo de valor en su servidor web. Confía en mí, vale la pena la tranquilidad.

22

Author: Mike,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2012-10-07 01:59:25

El documento PCI 1.2 acaba de salir. Proporciona un proceso sobre cómo implementar el cumplimiento de PCI junto con los requisitos. Puede encontrar el documento completo aquí:

Https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

En resumen, cree un segmento de red separado para los servidores que se dedicarán a almacenar información CC (generalmente servidores DB). Aislar los datos tanto como sea posible, y garantizar solo el acceso mínimo necesario para acceder a los datos está presente. Cifrarlo cuando se almacena. Nunca almacene Pan's. Purgue los datos antiguos y gire sus claves de cifrado.

Ejemplo No hacer:

No permita que la misma cuenta que puede buscar información general en la base de datos busque información CC.
No mantenga su base de datos CC en el mismo servidor físico que su servidor web.
No permita el tráfico externo (Internet) en su segmento de red de base de datos CC.

Ejemplo Dos:

Utilice una base de datos separada cuenta para consultar la información de CC.
No permitir todo el tráfico, excepto el requerido, al servidor de base de datos CC a través de firewall / listas de acceso
Restrinja el acceso al servidor CC a un conjunto limitado de usuarios autorizados.

17

Author: Zak,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2008-10-20 19:59:22

Me gustaría añadir un comentario no técnico que tal vez desee pensar

Varios de mis clientes ejecutan sitios de comercio electrónico, incluyendo un par que tienen tiendas moderadamente grandes. Ambos, aunque ciertamente podrían implementar una pasarela de pago que no elija demasiado, toman el número cc, lo almacenan temporalmente encriptado en línea y lo procesan manualmente.

Lo hacen debido a la alta incidencia de fraude y el procesamiento manual les permite tomar controles adicionales antes llenar un pedido. Me dicen que rechazan un poco más del 20% de todas sus transacciones: el procesamiento manual ciertamente toma tiempo adicional y en un caso tienen un empleado que no hace más que procesar transacciones, pero el costo de pagar su salario es aparentemente menor que su exposición si acaban de pasar los números cc a través de una puerta de enlace en línea.

Ambos clientes están entregando bienes físicos con valor de reventa, por lo que están particularmente expuestos y para artículos como software donde un la venta fraudulenta no daría lugar a ninguna pérdida real su kilometraje variaría, pero vale la pena considerar por encima de los aspectos técnicos de una puerta de enlace en línea si la implementación de tal es realmente lo que desea.

EDITAR: Y desde la creación de esta respuesta me gustaría añadir un cuento con moraleja y decir que el tiempo ha pasado cuando esto era una buena idea.

¿Por qué? Porque sé de otro contacto que estaba tomando un enfoque similar. Los detalles de la tarjeta se almacenaron encriptados, el sitio web fue accedido por SSL, y los números se eliminaron inmediatamente después del procesamiento. ¿Seguro crees?

Ninguna máquina en su red se infectó por un troyano de registro de claves. Como resultado, fueron identificados como la fuente de varias falsificaciones de tarjetas de crédito de score , y en consecuencia se vieron afectados por una gran multa.

Como resultado de esto, ahora nunca aconsejo a nadie que maneje tarjetas de crédito por sí mismo. Las pasarelas de pago se han vuelto mucho más competitivas y rentables, y el fraude las medidas han mejorado. El riesgo ya no vale la pena.

Podría eliminar esta respuesta, pero creo que lo mejor es dejarlo editado como un cuento con moraleja.

13

Author: Cruachan,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2011-05-09 18:34:57

Tenga en cuenta que usar SSL para enviar un número de tarjeta desde un navegador a un servidor es como cubrir su número de tarjeta de crédito con su pulgar cuando entrega su tarjeta a un cajero en un restaurante: su pulgar (SSL) evita que otros clientes en el restaurante (la Red) vean la tarjeta, pero una vez que la tarjeta está en manos del cajero (un servidor web) la tarjeta ya no está protegida por el intercambio SSL, y el cajero podría estar haciendo cualquier cosa con esa tarjeta. El acceso a un número de tarjeta guardado puede solo ser detenido por la seguridad en el servidor web. Es decir, la mayoría de los robos de tarjetas en la red no se realizan durante la transmisión, se realizan al romper la mala seguridad del servidor y robar bases de datos.

7

Author: joe snyder,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2010-06-27 23:07:20

¿Por qué molestarse con el cumplimiento de PCI?? En el mejor de los casos, te ahorrarás una fracción de un porcentaje en tus tarifas de procesamiento. Este es uno de esos casos en los que tienes que estar seguro de que esto es lo que quieres hacer con tu tiempo, tanto por adelantado en el desarrollo y con el tiempo para mantenerse al día con los últimos requisitos.

En nuestro caso, tenía más sentido usar una puerta de enlace con suscripción y emparejarla con una cuenta de comerciante. La pasarela de suscripción savy le permite omitir todo el cumplimiento de PCI y hacer nada más que procesar la transacción propiamente dicha.

Utilizamos TrustCommerce como nuestra puerta de enlace y estamos contentos con su servicio/precios. Tienen código para un montón de idiomas que hace que la integración sea bastante fácil.

5

Author: denton,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2009-04-28 21:29:17

Asegúrese de tener un control sobre el trabajo adicional y el presupuesto requerido para PCI. PCI puede requerir enormes honorarios de auditoría externa y esfuerzo/apoyo interno. También tenga en cuenta las multas/sanciones que se le pueden imponer unilateralmente, a menudo enormemente desproporcionadas a la escala de la "ofense".

3

Author: andora,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2009-09-15 11:02:52

Hay mucho en todo el proceso. La forma más fácil de hacerlo es usar servicios similares a paypal, para que nunca maneje los datos de la tarjeta de crédito. Aparte de eso, hay un poco de cosas que pasar para obtener la aprobación para ofrecer servicios de tarjeta de crédito en su sitio web. Probablemente debería hablar con su banco y las personas que emiten su identificación de comerciante para ayudarlo a configurar el proceso.

2

Author: Kibbee,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2008-09-09 01:56:34

Como otros han mencionado, la forma más fácil de entrar en esta área es con el uso de Paypal, Google checkout o Nochex. Sin embargo, si tiene la intención de una cantidad significativa de negocios, es posible que desee buscar" actualizar " a servicios de integración de sitios de nivel superior como WorldPay, NetBanx (UK) o Neteller (US) . Todos estos servicios son razonablemente fáciles de configurar. Y sé que Netbanx ofrece una integración conveniente en algunos de los shelf shopping cart solutions como Intershop (porque escribí algunas de ellas). Más allá de eso, está buscando la integración directa con los sistemas bancarios (y sus sistemas APAX), pero eso es difícil y en ese momento también debe demostrar a las compañías de tarjetas de crédito que está manejando los números de tarjetas de crédito de forma segura (probablemente no vale la pena considerar si no está tomando worth 100k por mes).

Trabajando desde el primero hasta el último, los costos / beneficios son que las opciones tempranas son mucho más fácil (más rápido/más barato) de configurar puesto que paga cargos de manejo bastante altos para cada transacción. los últimos son mucho más costosos de configurar, pero paga menos a largo plazo.

La otra ventaja de la mayoría de las soluciones no dedicadas es que no necesita mantener seguros los números de tarjetas de crédito cifrados. Ese es el problema de otra persona: -)

2

Author: Vagnerr,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2008-09-09 10:48:59

score 235 · Accepted Answer

Pasé por este proceso no hace mucho tiempo con una empresa para la que trabajé y planeo volver a hacerlo pronto con mi propio negocio. Si tienes algún conocimiento técnico de la red, realmente no es tan malo. De lo contrario, será mejor usar Paypal u otro tipo de servicio.

El proceso comienza obteniendo un cuenta de comerciante configuración y vinculado a su cuenta bancaria. Es posible que desee consultar con su banco, porque muchos de los principales bancos proporcionan comerciante Servicio. Usted puede ser capaz de obtener ofertas, porque ya es un cliente de ellos, pero si no, entonces usted puede comprar alrededor. Si planea aceptar Discover o American Express, esos serán separados, porque proporcionan los servicios comerciales para sus tarjetas, no se puede evitar esto. También hay otros casos especiales. Este es un proceso de solicitud, prepárese.

A continuación, querrá comprar un certificado SSL que puede usar para proteger sus comunicaciones para cuando la información de la tarjeta de crédito se transmite a través de redes públicas. Hay un montón de vendedores, pero mi regla de oro es elegir uno que es un nombre de marca de alguna manera. Cuanto mejor se conocen, mejor es probable que su cliente haya oído hablar de ellos.

A continuación, usted querrá encontrar un pasarela de pago para usar con su sitio. Aunque esto puede ser opcional dependiendo de qué tan grande sea, pero la mayoría de las veces no lo será. Necesitarás uno. Los proveedores de pasarela de pago proporcionan una manera de hablar con la API de puerta de enlace de Internet con la que se comunicará. La mayoría de los proveedores proporcionan comunicación HTTP o TCP / IP con su API. Procesarán la información de la tarjeta de crédito en su nombre. Dos vendedores son Authorize.Net y PayFlow Pro. El enlace que proporciono a continuación tiene más información sobre otros proveedores.

¿Ahora qué? Para empezar, hay pautas sobre lo que su aplicación tiene que cumplir para transmitir las transacciones. Durante el proceso de al configurar todo, alguien mirará su sitio o aplicación y se asegurará de que se adhiera a las pautas, como el uso de SSL y que tenga términos de uso y documentación de políticas sobre para qué se utiliza la información que el usuario le está dando. No robes esto de otro sitio. Piensa en el tuyo, contrata a un abogado si lo necesitas. La mayoría de estas cosas caen bajo el enlace de seguridad de datos PCI que Michael proporcionó en su pregunta.

Si planea almacenar los números de tarjeta de crédito, entonces es mejor estar preparado para poner algunas medidas de seguridad en su lugar internamente para proteger la información. Asegúrese de que el servidor en el que se almacena la información solo sea accesible para los miembros que necesitan tener acceso. Como cualquier buena seguridad, haces las cosas en capas. Cuantas más capas pongas, mejor. Si lo desea, puede usar el tipo de control remoto de seguridad, como SecureID o eToken para proteger la habitación en la que se encuentra el servidor. Si no puede pagar la ruta del llavero, use las dos teclas método. Permita que una persona que tiene acceso a la habitación firme una llave, que va junto con una llave que ya llevan. Necesitarán ambas llaves para acceder a la habitación. A continuación, protege la comunicación con el servidor con directivas. Mi política es que lo único que se comunica con él a través de la red es la aplicación y esa información está encriptada. El servidor no debe ser accesible de ninguna otra forma. Para las copias de seguridad, utilizo truecrypt para cifrar los volúmenes que serán las copias de seguridad salvado a. Cada vez que los datos se eliminan o se almacenan en otro lugar, de nuevo utiliza truecrypt para cifrar el volumen en el que se encuentran los datos. Básicamente donde quiera que estén los datos, necesitan ser encriptados. Asegúrese de que todos los procesos para acceder a los datos lleven rastros de auditoría. utilice registros para acceder a la sala de servidores, utilice cámaras si puede, etc... Otra medida es cifrar la información de la tarjeta de crédito en la base de datos. Esto garantiza que los datos solo se puedan ver en su aplicación donde pueda hacer cumplir quién ve la información.

Uso pfsense para mi firewall. Lo corro desde una tarjeta compact Flash y tengo dos servidores configurados. Uno es por fallo por redundancia.

Encontré este blog post por Rick Strahl que ayudó enormemente a entender hacer e-commerce y lo que se necesita para aceptar tarjetas de crédito a través de una aplicación web.

Bueno, esta resultó ser una respuesta larga. Espero que estos consejos ayuden.