所以我正在考虑使用dibs payment
所以我找到了这个节点包装器:DIBS API wrapper for Node.js
但是,这需要我通过发布请求将信用卡信息发送到我的节点服务器。
我的问题是:这安全吗?如果不是,我如何确保它是安全的?这样请求就不会被不受欢迎的各方入侵
问问题
1181 次
3 回答
3
他们提供所谓的“托管支付窗口”(http://tech.dibspayment.com/D2/Hosted)。在这种情况下,所有数据将直接发送到 DIBS,而无需发送到您的服务器。它是大多数应用程序的首选解决方案。
如果您想将信用卡数据发送到您的服务器,您需要确保它不会被泄露(参见https://www.pcisecuritystandards.org/)。这是一个很大的主题(一般来说,它主要是关于你的服务器和网络基础设施)。
于 2016-12-13T14:30:56.223 回答
0
商家处理 CC 信息的标准做法(如果他们这样做的话)是(a)在传输过程中加密(因此必须禁用未加密的连接或回退到不安全的协议,例如 SSL3)和(b)根本不存储在任何地方 - 不在您的数据库,不在任何日志中;进行交易并确保完整的抄送信息被销毁或匿名化,例如用星号替换中间的 6 位数字,这可能是您经常看到的。
更常见的做法是确保您和您的系统永远不会看到完整的持卡人数据,并且您委托其他人处理安全处理。
于 2016-12-13T14:40:59.600 回答
0
我没有用过 Dibs,但我用过 Stripe..
我认为 Dibs 会以同样的方式做到这一点。这是因为您不能通过互联网接受信用卡详细信息,除非您的公司已获得认可,而据我所知,这可能会花费数千美元。
基本上信用卡信息不会发送到您的服务器,但是说 Stripe 附带的 Javascript 库将数据直接发送到 Stripe(IOW:绕过您的服务器),然后条带返回一个令牌,然后将该令牌发送到您的服务器,然后这是你用来借记钱等的代币。
这意味着您和您用户的浏览器之间永远不会发送任何信用卡信息。这是一个重要的区别,因为除非您获得认可,否则在您的服务器上存储任何信用卡信息都是非法的,这包括在内存存储中。
快速浏览一下 DIB,它似乎不是这样做的。所以提醒一句,如果你处理 CC 细节,你最好检查一下你当地的法律,它甚至在 DIB 的网站上说是这个..
网店有责任遵守现行法规。如果您不确定您的网店是否包含所需信息,请联系您的收单机构。
如果您犯了上述错误,根据您来自哪个国家/地区,您可能会收到巨额罚款,甚至更糟。:)
更新:就像@Peteris 提到的那样,DIB 执行托管选项,这与 Stripe 类似,卡详细信息被发送到 DIB,然后 DIB 的服务器联系您的站点。
于 2016-12-13T14:35:36.600 回答