Stockage des détails de carte de crédit


60

Je dois enregistrer les numéros de carte de crédit pour la facturation récurrente par l'intermédiaire de notre marchand tiers.

Dois-je respecter certaines normes concernant la conservation des détails? Nous acceptons les cartes de crédit depuis des années, mais nous avions l'habitude de les supprimer dès que nous en avions fini. Nos clients ont demandé que nous stockions leurs coordonnées afin de ne pas avoir à payer manuellement leurs frais d'abonnement chaque mois.

Passer à PayPal pour utiliser leurs abonnements n'est pas une option. Nous devons les stocker et je dois m'assurer que le stockage est sécurisé!

Nous utilisons MSSQL 2005 pour nos données, et tout est déjà SSL.

Réponses:


86

Vous devrez suivre (à la lettre) et dépasser de préférence la norme PCI DSS . Ce n’est en aucun cas une tâche facile à accomplir, ni une tâche banale.

Je vous recommande fortement de trouver un processeur tiers capable de gérer cela pour vous et de l'intégrer à votre système de facturation. Cela va bien au-delà du simple SSL et du cryptage des informations de la base de données. Vous devez également surveiller les accès, détecter les intrusions, mettre en place des systèmes capables d'avertir uniquement les personnes concernées en cas de violation (et de déterminer quelles données ont pu être compromises), etc.

Ensuite, il existe un accès physique aux serveurs, au réseau, etc. Cela signifie une armoire verrouillée qui n'est pas partagée sur des serveurs que vous possédez, où le réseau local physique est également protégé. La conformité ne va pas être bon marché ou facile.

Vraiment, déployez tous les efforts possibles pour le transférer à un tiers. La responsabilité à elle seule ne vaut tout simplement pas le risque sauf si vous parlez de transactions qui représentent des centaines de milliers de (insérer votre devise ici) mensuellement. Dans ce cas, les frais que vous enregistrez peuvent justifier de faire appel aux talents nécessaires pour mettre en œuvre et surveiller les systèmes qui stockent les informations. Tu auras besoin:

  • Programmeurs système (vous aurez besoin de points d’audit au niveau du noyau et du système de fichiers)
  • IDS / IPS Gurus (sauf si vous aimez le lock-in du vendeur)
  • Personnel 24/7/365 pour surveiller les alertes générées par les systèmes conçus par les experts. Ces personnes ne sont pas bon marché, elles décident de débrancher la facturation ou de signaler un bogue dans les algorithmes que vous utilisez.

Et encore une fois, vous pouvez transférer tout cela à une tierce partie, à moindre coût.


Hmm, nous sommes déjà à mi-chemin parce que nous traitons des informations sensibles pour le compte de nos clients (serveurs verrouillés et détection d'intrusion et IPSec sur la DMZ sont déjà en place). Je vais avoir une bonne lecture, merci.
Mark Henderson

@Farseeker - Au-delà de la prévention de l'accès illégal, le plus important est de le détecter et de déterminer ce qui peut avoir été compromis et qui doit être averti très rapidement. Notez que cela inclut également la copie non autorisée des fichiers sauvegardant la base de données.
Tim Post

5
Le fait que vous traitiez maintenant les données de carte de crédit, même si vous ne les stockiez pas de manière permanente, signifie que vous devez vous conformer à la norme PCI DSS.
Stephen Jennings

@Stephen - Lorsqu'il s'agit de PCI, la gestion et le stockage sont complètement distincts. Le traitement consiste simplement à envoyer des données à une passerelle et à attendre une réponse. Le stockage est sa propre boîte de Pandore.
Tim Post

La spécification PCI DSS 3.2 indique que les codes de suivi et de vérification ne peuvent pas être stockés après l'autorisation, même s'ils sont cryptés. Ceci inclut TOUS les journaux, y compris les journaux de transaction de la base de données.
Leigh Riffel le

23

Il est jamais une bonne idée de carte de crédit en magasin jamais . Vous vous apprêtez à une chute, toute passerelle de paiement décente vous permettra d'effectuer des transactions récurrentes avec un jeton sans que vous ayez à stocker les détails de votre carte de crédit.


3
+1 pour l’idée de ne jamais stocker de CC dans votre base de données. Notre fournisseur de passerelle de paiement stocke maintenant toutes ces informations, ce qui constitue un énorme soulagement pour notre sécurité.
Milner

Pour un exemple, une telle offre est Authorize.net Customer Information Manager (CIM) authorize.net/solutions/merchantsolutions/merchantservices/cim et depuis la facturation récurrente a été mentionné automatisé de facturation récurrente (ARA) authorize.net/solutions/merchantsolutions/merchantservices/ … Vous pouvez les stocker, mais ils ne seront jamais en sécurité. En fin de compte, vous aurez à payer pour ce que les services vous auraient coûté en perte de réputation, en ventes, en amendes de la part de votre processeur et en tout litige résultant d’une compromission des données.
Fiasco Labs


8

Votre commerçant tiers n'inclut-il pas l'option du paiement par carte de crédit en continu - la plupart des plus importants ici au Royaume-Uni le font certainement (DataCash, RBS World Pay, etc.).

Fondamentalement, vous soumettez les détails de la carte une fois à eux, avec une demande pour une autorité CCC (qui, si je me souviens bien, doit inclure le calendrier prévu et le montant régulier), puis vous recevez un jeton. Ensuite, tous les mois, quel que soit le type de jeton que vous interrogez, le commerçant traite les transactions suivantes pour vous. Il est également généralement possible de les configurer pour des requêtes variables, ad-hoc. La principale exigence de votre part est d'informer le client (généralement au moins 10 jours) avant d'accepter le paiement.

De cette façon, vous ne stockez pas les détails de CC nulle part, cela est géré par des personnes qui ont satisfait aux exigences.

Cette procédure revient à effectuer des préautorisations sur une carte. Vous ne devriez donc jamais avoir à stocker la carte de crédit, mais simplement un jeton du commerçant que vous pouvez appeler si nécessaire.


4

Nous devons les stocker et je dois m'assurer que le stockage est sécurisé!

Une question: pourquoi?

Je ne le demande que parce que je dois m'occuper moi-même de PCI, et le suivre est une tâche pénible. Même si mon travail quotidien nous qualifie d’élément inférieur de la conformité PCI, il reste encore beaucoup à faire. Le cryptage, les considérations de moindre privilège, la sécurité du système d'exploitation du serveur, la sécurité du réseau interne, la sécurité des frontières, les audits de tierces parties ... tout est difficile à suivre. Et c'est même avec nous ne stockant pas d'informations de carte de crédit!

(Remarque: si vous faites du commerce électronique, vous devez être conforme à la norme PCI même si vous ne stockez pas les données CC. Si vous ne vous plaignez pas maintenant, considérez-vous chanceux de ne pas vous avoir mordu.)

Demandez à votre processeur de le gérer. Nous utilisons Authorize.net et ils ont une merveilleuse API qui nous permet de créer notre propre système frontal personnalisé, mais ils se chargent de stocker et de gérer les paiements réels. Si nous voulions configurer une facturation récurrente, ils ont un système pour stocker les informations. Honnêtement, je leur fais plus confiance que moi-même.


4

Comme d'autres personnes l'ont mentionné, vous recherchez une norme PCI-DSS. En outre, comme d'autres personnes l'ont mentionné, la mise en conformité sera probablement trop coûteuse pour les petits sites.

Passer à PayPal pour utiliser leurs abonnements n'est pas une option. Nous devons les stocker et je dois m'assurer que le stockage est sécurisé!

Vous pouvez stocker localement un identifiant qui identifie les informations de carte de crédit du client sur votre passerelle de paiement. Je ne suis pas sûr que PayPal propose cette option, mais d’autres passerelles de paiement le font.

N'oubliez pas non plus que même si vous ne stockez pas les données de carte de crédit sur un disque, vous devez respecter certaines exigences de la norme PCI-DSS. De loin, le moyen le plus simple de se conformer consiste à ne prendre aucune donnée CC (c'est-à-dire: en postant le formulaire de paiement directement à la passerelle de paiement).


3

Des services tels que http://chargify.com/ offrent une couche supplémentaire par-dessus les passerelles de paiement existantes. Ils proposeront probablement toutes sortes de solutions pour stocker les cartes de crédit, mettre en œuvre des paiements récurrents et même créer des rapports pour vous.

Cela vous permettra de contourner l’ensemble du problème de responsabilité et de conformité PCI. Une de mes préoccupations est de savoir si un jour vous souhaitez changer de fournisseur, de compte marchand ou de passerelle. Comment emmenez-vous vos 10 000 clients? Est-ce qu'ils remettent une base de données de cartes de crédit? Est-ce que le travail avec un concurrent pour transférer les informations de carte de crédit sur?

J'en doute. Il est fort probable que vous deviez demander à tous vos clients de soumettre à nouveau leurs informations de facturation si vous changez de fournisseur. C'est un petit argument en faveur du stockage des informations de carte de crédit vous-même. Cela ne vaut probablement que si vous allez avoir beaucoup de clients et beaucoup de revenus. Je serais très curieux d'entendre les opinions des autres peuples sur cette énigme particulière.


C'est un très bon point, je n'y avais pas pensé. Nous utilisons SecurePay depuis environ 5 ou 6 ans et nous n’avons aucune inquiétude à leur égard. Je pense donc que nous resterions avec eux, mais qui sait ce que l’avenir nous réserve ...
Mark Henderson

2

Je n'ai pas encore assez de représentants pour faire un vote ou un commentaire, cela va donc dans une nouvelle réponse. Comme l'a souligné zhaph , de nombreuses sociétés de négoce proposent un système de paiement récurrent dans lequel elles gèrent le stockage pour vous.

Nous utilisons Authorize.net pour tous les clients qui ne souhaitent pas utiliser PayPal et cela fonctionne assez bien (notre seul gros reproche est que la clé API est réinitialisée tous les 6 mois et qu'ils ne se donnent pas la peine de vous avertir quand cela se produit. la page ne fonctionne plus). Leur API est basée sur XML et vous pouvez trouver des wrappers pour cela dans à peu près toutes les langues.


1

Notez que si vous décidez finalement de stocker les informations de carte de crédit dans votre propre base de données, vous ne devez en aucun cas stocker le code de sécurité à 3 chiffres de la carte . Cela est strictement interdit par les associations de cartes.

En passant, vous n’avez pas besoin du code de sécurité de la carte pour effectuer une transaction. Cela améliore le taux de détection de la fraude, mais vous ne devriez pas en avoir besoin si vous entretenez une relation continue avec le client. (Et même si vous pensez en avoir besoin, vous ne pouvez pas le stocker. Quoi qu'il en soit.)

J'appuie également les autres recommandations pour ne pas stocker les informations. De Authorize.Net Responsable de l' information à la clientèle est facile et pas cher à utiliser. Il vous coûtera BEAUCOUP moins cher de l’utiliser plutôt que d’engendrer les coûts PCI inhérents au stockage des informations sur vos propres serveurs.


1

Si vous allez stocker des cartes de crédit dans votre base de données, le cryptage est essentiel. Vous voudrez également (ou aurez peut-être besoin de) faire appel à une tierce partie pour effectuer des tests de conformité de routine afin de vous assurer que vos systèmes sont à la hauteur.


5
Mais ne stockez pas de CC dans votre base de données. Ne pas
dimo414

Le cryptage n'est que le début. Allez télécharger votre SAQ (Questionnaire d'auto-évaluation) applicable: pcisecuritystandards.org/merchants/self_assessment_form.php et commencez à vous rendre compte que le cryptage de la base de données est assez loin dans la liste des exigences. Il y a tellement de façons de divulguer des informations d'identification de carte de crédit que vous n'avez même pas touchées et qui concernent le stockage de cartes de crédit.
Fiasco Labs
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.