不久前,我在一家我工作的公司经历了这个过程,我计划很快在我自己的企业中再次经历这个过程。如果您有一些网络技术知识,那确实还不错。否则,您最好使用 Paypal 或其他类型的服务。
该过程首先设置商家帐户并绑定到您的银行帐户。您可能需要向您的银行查询,因为许多主要银行都提供商户服务。您可能能够获得交易,因为您已经是他们的客户,但如果没有,那么您可以货比三家。如果您计划接受 Discover 或 American Express,它们将是分开的,因为它们为他们的卡提供商家服务,没有绕过这个。还有其他一些特殊情况。这是一个申请过程,请做好准备。
接下来,您将需要购买一个SSL 证书,当信用卡信息通过公共网络传输时,您可以使用它来保护您的通信。有很多供应商,但我的经验法则是选择一个在某种程度上是品牌名称的。他们越为人所知,您的客户可能对他们的了解就越好。
接下来,您将需要找到与您的网站一起使用的支付网关。虽然这可以是可选的,具体取决于您的大小,但大多数情况下不会。你将需要一个。支付网关供应商提供了一种与您将与之通信的 Internet 网关 API 进行通信的方式。大多数供应商通过其 API 提供 HTTP 或 TCP/IP 通信。他们将代表您处理信用卡信息。两个供应商是Authorize.Net和PayFlow Pro。我在下面提供的链接包含有关其他供应商的更多信息。
怎么办?对于初学者,有一些关于您的应用程序必须遵守传输交易的指南。在进行所有设置的过程中,有人会查看您的网站或应用程序,并确保您遵守指南,例如使用 SSL,并且您有使用条款和政策文档,说明用户提供给您的信息的用途为了。不要从其他网站窃取这个。想出你自己的,如果你需要聘请律师。大多数这些事情都属于迈克尔在他的问题中提供的 PCI 数据安全链接。
如果您打算存储信用卡号码,那么您最好准备好在内部采取一些安全措施来保护信息。确保存储信息的服务器只有需要访问权限的成员才能访问。像任何良好的安全性一样,您可以分层做事。您放置的层数越多越好。如果您愿意,可以使用密钥卡类型安全性,例如SecureID或eToken保护服务器所在的房间。如果您买不起密钥卡路线,请使用两键方法。允许有权进入房间的人注销钥匙,该钥匙与他们已经携带的钥匙一起使用。他们需要两把钥匙才能进入房间。接下来,您使用策略保护与服务器的通信。我的策略是,唯一通过网络与它通信的是应用程序,并且该信息是加密的。服务器不应以任何其他形式访问。对于备份,我使用truecrypt加密备份将保存到的卷。每当数据被删除或存储在其他地方时,您再次使用 truecrypt 来加密数据所在的卷。基本上无论数据在哪里,都需要加密。确保所有获取数据的过程都带有审计线索。使用日志访问服务器机房,尽可能使用摄像头,等等……另一个措施是对数据库中的信用卡信息进行加密。这确保只能在您的应用程序中查看数据,您可以在其中强制执行谁可以查看信息。
我使用pfsense作为我的防火墙。我使用紧凑型闪存卡运行它并设置了两台服务器。一种是用于冗余的故障转移。
我发现了 Rick Strahl 的这篇博客文章,它极大地帮助理解了做电子商务以及通过 Web 应用程序接受信用卡需要什么。
好吧,结果证明这是一个很长的答案。我希望这些提示有所帮助。