我是否应该在最初的几个步骤(验证、审查购买)中使用会话,然后在最终提交时将信息输入数据库?
饼干会被劫持并变成诉讼吗?是不是太冒险了?
如果存储信用卡号,我是否需要以任何特殊方式保护我的数据库?
欢迎任何和所有的建议和个人经验。
问问题
2614 次
1 回答
12
信用卡问题对存储信用卡数据有严格的要求(谷歌“PCI 合规性”)。
至少有一个支付网关可以让你外包合规的东西:http ://www.braintreepaymentsolutions.com/
上次我查看时,您可以运行初始事务,并取回令牌。该令牌可用于将来对该卡进行收费,但只能由您使用。支付网关人员负责存储实际的信用卡数据。
据我所知(而且我不会进行大量的卡处理),如果您需要对同一张卡进行任意收费,这可能是最好的解决方案。
如果您只需要一些经常性费用(定期收取一定金额),则可以为此配置大多数支付网关(想到 authorize.net)。
归根结底,如果您没有处理特别大的预算,最好外包卡#存储。自己做是太多的责任。
(编辑:至于在会话中存储东西——是的,你可能会摆脱它,但你应该避免它。只需在提交 CC 信息时进行初始身份验证/捕获。)
于 2009-09-13T02:55:02.067 回答