Przechowywanie danych karty kredytowej

60

Muszę przechowywać numery kart kredytowych w celu cyklicznego rozliczania za pośrednictwem naszego zewnętrznego sprzedawcy.

Czy są jakieś standardy, których muszę przestrzegać w zakresie przechowywania danych? Akceptujemy karty kredytowe od lat, ale odrzucaliśmy ich dane, gdy tylko z nimi skończyliśmy. Nasi klienci poprosili o przechowywanie ich danych, aby nie musieli ręcznie płacić abonamentu co miesiąc.

Przejście do systemu PayPal w celu korzystania z ich subskrypcji nie jest opcją. Musimy je przechowywać i muszę upewnić się, że przechowywanie jest bezpieczne!

Wykorzystujemy MSSQL 2005 dla naszych danych, a wszystko jest już w SSL.

Mark Henderson
źródło

Odpowiedzi:

86

Będzie trzeba wykonać (na piśmie), a korzystnie przekracza o PCI DSS standardu. W żadnym wypadku nie jest to łatwe zadanie do wykonania, ani nie należy go traktować trywialnie.

I zdecydowanie zaleca, aby znaleźć procesor stron trzecich, które mogą obsługiwać to dla ciebie i włączenia jej do systemu rozliczeniowego. Wykracza to daleko poza samo posiadanie SSL i szyfrowanie informacji w bazie danych. Musisz również monitorować dostęp, wykrywać włamania, mieć systemy, które mogą powiadamiać tylko osoby dotknięte skutkami naruszenia (i określić, które dane mogły zostać naruszone) itp.

Następnie istnieje fizyczny dostęp do serwerów, sieci itp. Oznacza to zamkniętą szafkę, która nie jest współdzielona na serwerach, które posiadasz, gdzie fizyczna sieć LAN jest również chroniona. Zgodność nie będzie ani tania, ani łatwa.

Naprawdę, dołóż wszelkich starań, aby przenieść to na stronę trzecią. Samo zobowiązanie po prostu nie jest warte ryzyka, chyba że mówisz o transakcjach o wartości setek tysięcy (wstaw swoją walutę) miesięcznie. W takim przypadku zaoszczędzone opłaty mogą uzasadniać wykorzystanie talentu potrzebnego do wdrożenia i monitorowania systemów przechowujących informacje. Będziesz potrzebował:

  • Programiści systemów (będziesz potrzebować haków kontroli poziomu jądra i systemu plików)
  • Guru IDS / IPS (chyba że lubisz blokowanie dostawcy)
  • 24/7/365 pracowników do monitorowania alertów generowanych przez systemy zaprojektowane przez ekspertów. Ci ludzie nie są tanie, podejmują decyzję o wyciągnięciu wtyczki rozliczeniowej lub zgłoszeniu błędu w używanych algorytmach.

Z drugiej strony, możesz to wszystko zrzucić na stronę trzecią, dość tanio.

Tim Post
źródło
Hmm, jesteśmy już w połowie drogi, ponieważ mamy do czynienia z poufnymi informacjami w imieniu naszych klientów (zablokowane serwery i wykrywanie włamań oraz IPSec w DMZ są już na miejscu). Dobrze przeczytam, dzięki.
Mark Henderson
@Farseeker - Oprócz zapobiegania nielegalnemu dostępowi, najważniejszą częścią jest wykrycie go i ustalenie, co mogło być zagrożone i kto musi zostać bardzo szybko powiadomiony. Uwaga: obejmuje to także nieautoryzowane kopiowanie plików, które wykonują kopię zapasową bazy danych.
Tim Post
5
Fakt, że obecnie przetwarzasz dane karty kredytowej, nawet jeśli nie przechowujesz ich na stałe, oznacza, że ​​musisz przestrzegać PCI DSS.
Stephen Jennings
@ Stephen - Obsługa i przechowywanie są całkowicie oddzielnymi rzeczami, jeśli chodzi o PCI. Obsługa oznacza po prostu wysłanie niektórych danych do bramy i oczekiwanie na odpowiedź. Przechowywanie to osobna puszka robaków.
Tim Post
Wymaganie PCI DSS 3.2 wskazuje, że nie można zapisać kodu śledzenia i weryfikacji po autoryzacji, nawet jeśli jest zaszyfrowany, i obejmuje WSZYSTKIE dzienniki, w tym dzienniki transakcji dla bazy danych.
Leigh Riffel,
23

To nigdy nie jest dobry pomysł, aby przechowywać dane karty kredytowej kiedykolwiek . Po prostu szykujesz się na upadek, każda brama do przyzwoitej płatności pozwoli ci robić powtarzające się transakcje za pomocą tokena, w którym nie musisz przechowywać danych karty kredytowej.

Śmigać
źródło
3
+1 za pomysł, by nigdy nie przechowywać CC w bazie danych. Nasz dostawca bramek płatniczych przechowuje teraz wszystkie te informacje, co stanowi ogromną ulgę w naszej ekspozycji na bezpieczeństwo.
Milner
Na przykład jedną z takich ofert jest Authorize.net Customer Information Manager (CIM) authorize.net/solutions/merchantsolutions/merchantservices/cim, a ponieważ wspomniano o rozliczeniach cyklicznych, zautomatyzowano rozliczenia automatyczne (ARB) Authorize.net/solutions/merchantsolutions/merchantservices/ … Możesz je przechowywać, ale nigdy nie będą bezpieczne. W końcu zapłacisz za to, ile usługi kosztowałyby cię z powodu utraty reputacji, utraty sprzedaży, kar od procesora i wszelkich sporów wynikających z naruszenia bezpieczeństwa danych.
Fiasco Labs
8

Czy Twój zewnętrzny sprzedawca nie obejmuje opcji ciągłych płatności kartą kredytową - większość z nich w Wielkiej Brytanii z pewnością to robi (DataCash, RBS World Pay itp.).

Zasadniczo przekazujesz im Szczegóły karty raz, z prośbą do organu CCC (który, jeśli dobrze pamiętam, musi zawierać oczekiwany harmonogram i regularną kwotę), a następnie otrzymujesz od nich token. Następnie co miesiąc / cokolwiek sondujesz kupca tokenem, a oni przetwarzają dla ciebie kolejne transakcje - zazwyczaj są też możliwości skonfigurowania ich dla zmiennych, doraźnych żądań. Kluczowym wymogiem po Twojej stronie jest powiadomienie klienta (zwykle co najmniej 10 dni) przed podjęciem płatności.

W ten sposób nie przechowujesz nigdzie szczegółów CC, wszystko to są obsługiwane przez osoby, które spełniły wymagania.

Jest to podobne do wykonywania wstępnej autoryzacji na karcie, więc nigdy nie powinieneś przechowywać karty kredytowej, tylko token od Kupca, do którego możesz zadzwonić w razie potrzeby.

Zhaph - Ben Duguid
źródło
4

Musimy je przechowywać i muszę upewnić się, że przechowywanie jest bezpieczne!

Jedno pytanie: dlaczego?

Proszę o to tylko dlatego, że sam muszę poradzić sobie z PCI, a nadążanie za nią jest uciążliwe. Mimo że moja codzienna praca kwalifikuje nas jako najniższy szczebel zgodności PCI, wciąż jest wiele do zrobienia. Szyfrowanie, względy dotyczące najmniejszych przywilejów, bezpieczeństwo systemu operacyjnego serwera, bezpieczeństwo sieci wewnętrznej, bezpieczeństwo granic, audyty stron trzecich ... to wszystko jest na bieżąco. I to nawet w przypadku, gdy nie przechowujemy informacji o karcie kredytowej!

(Sidenote: Jeśli prowadzisz handel elektroniczny, musisz być zgodny z PCI, nawet jeśli nie przechowujesz danych CC. Jeśli nie masz teraz skargi, uważaj się za szczęściarza, że ​​jeszcze cię nie ugryzł.)

Sprawdź, czy procesor sobie z tym poradzi. Korzystamy z Authorize.net i mają one wspaniały interfejs API, dzięki czemu możemy zbudować własny niestandardowy interfejs, ale zajmują się przechowywaniem i obsługą faktycznych płatności. Jeśli chcielibyśmy skonfigurować powtarzające się rozliczenia, mają system do przechowywania informacji. Szczerze, ufam im bardziej niż sobie.

Dragonmantank
źródło
4

Jak wspomnieli inni, szukasz PCI-DSS. Jak wspomniano również inne osoby, zgodność z przepisami może być zbyt droga w przypadku małych witryn.

Przejście do systemu PayPal w celu korzystania z ich subskrypcji nie jest opcją. Musimy je przechowywać i muszę upewnić się, że przechowywanie jest bezpieczne!

Możesz lokalnie przechowywać identyfikator, który identyfikuje informacje o karcie kredytowej klienta w bramce płatności. Nie jestem pewien, czy PayPal oferuje tę opcję, ale istnieją inne bramki płatności.

Pamiętaj również, że nawet jeśli nie przechowujesz danych karty kredytowej na dysku, nadal spełniasz niektóre wymagania PCI-DSS. Zdecydowanie najłatwiejszym sposobem na zachowanie zgodności jest nieprzyjmowanie żadnych danych CC (tj .: poprzez wysłanie formularza płatności bezpośrednio do bramki płatności).

Thiago Figueiro
źródło
3

Usługi takie jak http://chargify.com/ oferują dodatkową warstwę na istniejących bramach płatniczych. Zapewnią one różne sposoby przechowywania kart kredytowych, realizacji płatności cyklicznych, a nawet tworzenia raportów.

Umożliwi to obejście całego problemu dotyczącego odpowiedzialności i zgodności PCI. Jedną z moich obaw jest to, czy któregoś dnia chcesz zmienić sprzedawców, konta handlowe lub bramy. Jak zabierasz ze sobą 10 000 klientów? Czy przekazują bazę danych kart kredytowych? Czy współpracuje z konkurentem w celu przeniesienia informacji o karcie kredytowej?

Wątpię. Możliwe, że będziesz musiał poprosić wszystkich swoich klientów o ponowne przesłanie informacji rozliczeniowych, jeśli zmienisz dostawcę. To jeden mały argument na rzecz przechowywania informacji o karcie kredytowej. Prawdopodobnie warto, jeśli masz wielu klientów i duże przychody. Byłbym bardzo ciekawy, gdy usłyszę przemyślenia innych ludzi na temat tej konkretnej zagadki.

zaqintosh
źródło
To bardzo dobra uwaga, nie myślałem o tym. Używamy SecurePay od około 5-6 lat i nie mieliśmy z nimi żadnych obaw, więc myślę, że będziemy się ich trzymać, ale kto wie, co przyniesie przyszłość ...
Mark Henderson
2

Nie mam jeszcze wystarczającej liczby przedstawicieli, aby głosować lub komentować, więc otrzymam nową odpowiedź. Jak wskazał zhaph , wiele firm handlowych oferuje system płatności cyklicznych, w którym zajmują się przechowywaniem danych.

Korzystamy z Authorize.net dla wszystkich klientów, którzy nie chcą korzystać z PayPal i działa całkiem dobrze (naszą jedyną dużą skargą jest to, że klucz API resetuje się co 6 miesięcy i nie zawracają sobie głowy powiadomieniem Cię, kiedy to nastąpi, więc strona po prostu przestaje działać). Ich interfejs API oparty jest na języku XML i można znaleźć opakowania dla niego w prawie każdym języku.

ChiperSoft
źródło
1

Pamiętaj, że jeśli ostatecznie zdecydujesz się przechowywać informacje o karcie kredytowej we własnej bazie danych, w żadnym wypadku nie powinieneś przechowywać 3-cyfrowego kodu bezpieczeństwa karty . Takie postępowanie jest surowo zabronione przez stowarzyszenia kart.

BTW, nie potrzebujesz kodu bezpieczeństwa karty, aby dokonać transakcji. Poprawia wskaźnik wykrycia oszustwa, ale nie powinien być potrzebny, jeśli masz stałe relacje z klientem. (I nawet jeśli uważasz, że potrzebujesz, nie możesz go przechowywać. Bez względu na wszystko.)

Popieram także inne zalecenia, aby nie przechowywać informacji. Menedżer informacji o klientach Authorize.Net jest łatwy i tani w użyciu. Korzystanie z niego będzie O wiele DUŻO tańsze niż ponoszenie kosztów PCI związanych z przechowywaniem informacji na własnych serwerach.

Larry K.
źródło
1

Jeśli zamierzasz przechowywać karty kredytowe w bazie danych, kluczem jest szyfrowanie. Będziesz także chciał (a może potrzebujesz) zlecić zewnętrznym rutynowym testom zgodności, aby upewnić się, że twoje systemy są w stanie zgasić.

Milner
źródło
5
Ale nie przechowuj CC w swojej bazie danych. Nie rób tego.
dimo414,
Szyfrowanie to dopiero początek. Pobierz odpowiedni kwestionariusz SAQ (Self Assessment Questionnaire) pcisecuritystandards.org/merchants/self_assessment_form.php i zacznij odkrywać , że szyfrowanie bazy danych jest znacznie poniżej listy wymagań. Istnieje wiele sposobów wycieku danych uwierzytelniających karty kredytowej, których nawet nie dotknąłeś, dotyczących przechowywania kart kredytowych.
Fiasco Labs