Je suis passé par ce processus il n'y a pas longtemps avec une entreprise pour laquelle je travaillais et je prévois de le refaire bientôt avec ma propre entreprise. Si vous avez des connaissances techniques sur le réseau, ce n'est vraiment pas si mal. Sinon, vous feriez mieux d'utiliser Paypal ou un autre type de service.
Le processus commence par obtenir une configuration de compte marchand et lié à votre compte bancaire. Vous voudrez peut-être vérifier auprès de votre banque, car de nombreuses grandes banques fournissent des services marchands. Vous pourrez peut-être obtenir des offres, car vous êtes déjà un de leurs clients, mais sinon, vous pouvez faire le tour. Si vous envisagez d'accepter Discover ou American Express, ceux-ci seront séparés, car ils fournissent les services marchands pour leurs cartes, sans contourner cela. Il existe également d'autres cas particuliers. Il s'agit d'un processus de demande, soyez prêt.
Ensuite, vous voudrez acheter un certificat SSL que vous pouvez utiliser pour sécuriser vos communications lorsque les informations de carte de crédit sont transmises sur les réseaux publics. Il y a beaucoup de fournisseurs, mais ma règle d'or est de choisir celui qui est une marque en quelque sorte. Mieux ils sont connus, mieux votre client en a probablement entendu parler.
Ensuite, vous souhaiterez trouver une passerelle de paiement à utiliser avec votre site. Bien que cela puisse être facultatif en fonction de votre taille, mais la plupart du temps ce ne sera pas le cas. Vous en aurez besoin. Les fournisseurs de passerelles de paiement offrent un moyen de communiquer avec l'API Internet Gateway avec laquelle vous communiquerez. La plupart des fournisseurs fournissent une communication HTTP ou TCP / IP avec leur API. Ils traiteront les informations de carte de crédit en votre nom. Deux fournisseurs sont Authorize.Net et PayFlow Pro . Le lien que je fournis ci-dessous contient plus d'informations sur d'autres fournisseurs.
Maintenant quoi? Pour commencer, il existe des directives sur ce que votre application doit respecter pour transmettre les transactions. Au cours du processus de configuration, quelqu'un examinera votre site ou votre application et s'assurera que vous respectez les directives, comme l'utilisation de SSL et que vous avez des conditions d'utilisation et une documentation de politique sur les informations utilisées par l'utilisateur. pour. Ne volez pas cela sur un autre site. Venez avec le vôtre, engagez un avocat si vous en avez besoin. La plupart de ces éléments relèvent du lien PCI Data Security fourni par Michael dans sa question.
Si vous prévoyez de stocker les numéros de carte de crédit, il vaut mieux être prêt à mettre en place des mesures de sécurité en interne pour protéger les informations. Assurez-vous que le serveur sur lequel les informations sont stockées n'est accessible qu'aux membres qui doivent y avoir accès. Comme toute bonne sécurité, vous faites les choses en couches. Plus vous mettez de couches en place, mieux c'est. Si vous le souhaitez, vous pouvez utiliser la sécurité de type porte-clés, comme SecureID ou eTokenpour protéger la pièce dans laquelle se trouve le serveur. Si vous ne pouvez pas vous permettre la route du porte-clés, utilisez la méthode des deux clés. Permettre à une personne ayant accès à la salle de se déconnecter d'une clé, qui va de pair avec une clé qu'elle porte déjà. Ils auront besoin des deux clés pour accéder à la salle. Ensuite, vous protégez la communication avec le serveur avec des stratégies. Ma politique est que la seule chose qui lui communique via le réseau est l'application et que les informations sont cryptées. Le serveur ne doit être accessible sous aucune autre forme. Pour les sauvegardes, j'utilise truecryptpour chiffrer les volumes sur lesquels les sauvegardes seront enregistrées. Chaque fois que les données sont supprimées ou stockées ailleurs, vous utilisez à nouveau truecrypt pour crypter le volume des données. Fondamentalement, où que se trouvent les données, elles doivent être chiffrées. Assurez-vous que tous les processus permettant d'accéder aux données comportent des pistes d'audit. utilisez des journaux pour accéder à la salle des serveurs, utilisez des caméras si vous le pouvez, etc ... Une autre mesure consiste à crypter les informations de carte de crédit dans la base de données. Cela garantit que les données ne peuvent être consultées que dans votre application, où vous pouvez appliquer qui voit les informations.
J'utilise pfsense pour mon pare-feu. Je l'exécute sur une carte flash compacte et j'ai configuré deux serveurs. L'un est pour le basculement pour la redondance.
J'ai trouvé ce billet de blog de Rick Strahl qui m'a énormément aidé à comprendre le commerce électronique et ce qu'il faut pour accepter les cartes de crédit via une application Web.
Eh bien, cela s'est avéré être une longue réponse. J'espère que ces conseils vous aideront.