2

我正在建立一个第一次接受信用卡的网站。

我正在使用 Drupal 来管理产品和存储内容,但这并不重要。我想帮助建立一个社区生成的与平台无关的信用卡接受要求列表。

我正在寻找一份我需要准备的清单,以便安全、负责任地接受信用卡。

我已经做了相当多的研究。

下面的问题很好,但它的重点是获取商家帐户并在现场存储信用卡。我认为大多数 Web 开发人员和中小型组织不需要这样做: 支付处理器 - 如果我想在我的网站上接受信用卡,我需要知道什么?

这是我认为我需要的:

  1. 固定 IP 地址和 SSL 证书(通过网络主机购买,很容易做到)
  2. 在所有购物车和结帐页面上启用 HTTPS(Drupal 功能)
  3. 与支付处理器建立关系(Stripe、Authorize.net、Paypal Pro)
  4. 开发网站以匹配支付处理器 API(对我来说,这意味着 Drupal 模块)
  5. 做测试交易
  6. 翻转生活
  7. 做更多的测试交易

这真的是接受信用卡的全部吗?我错过了什么吗?

4

2 回答 2

1

至少我会在您的服务中添加某种对关键活动的实时监控。密码尝试失败、虚假 URL 和 URL 参数、交易数量/美元金额等。这些指标可以帮助您在恶意行为成为问题之前将其捕获。

您还需要考虑诸如帐户安全性、如何存储密码(使用 BCrypt 或类似的东西加盐和散列)和其他个人身份信息等问题。

我会认真地重新考虑存储信用卡信息。即使您愿意遵守 PCI-DSS (http://en.wikipedia.org/wiki/PCI_DSS) 的要求,使用处理器提供的结帐服务也容易得多。

技术要求不是很困难。由于违规而远离聚光灯要困难得多。我经营着一家每天处理数千笔交易的公司……这是可能的,但需要持续关注大量风险因素。

如果你选择继续,我会在你上线之前投资一些高质量的道德黑客,以确保你没有错过任何东西。

祝你好运。

于 2012-04-10T02:26:40.007 回答
1

从本质上讲,您所说的内容涵盖了它。也就是说,Baldy 加强安全性的建议是正确的——你正在做交易,这会影响隐私和安全,所以把事情搞定。至于保存信用卡数据,您很可能将与支付网关合作,该网关将用户往返于他们的服务器并返回您的网站——信用卡详细信息实际上不会保留在您的网站上——所以不要通过添加您自己的收集敏感数据的表单(或修改您的用户页面)来结束此保护。

于 2012-04-11T13:52:31.797 回答