问题标签 [credit-card]

我经营的业务类型允许客户在付款之前获得结果。我在他们注册时获取他们的信用卡信息，然后从一周到一个月的任何时间向他们收取我的服务费用。大多数情况下这很顺利，但偶尔人们会尝试使用虚拟信用卡来玩这个系统，然后扔掉借记卡（就像你可能在 Wallmart 买的那样）。

我做了一些研究，发现http://en.wikipedia.org/wiki/List_of_Bank_Identification_Numbers，但这不是一个完整的列表。无论如何要确定卡片的来源；特别是虚拟和扔掉的卡片。

或者有没有人对这个问题有任何经验，并且可以给我一些解决这个问题的想法？

出于测试目的，我在开发站点上设置了 SSL 证书，其中域与对该证书有效的 SSL 域不匹配。

即使证书域无效，是否仍然可以使用 Authorize.net 验证信用卡？

我正在编写一个定期向客户付款的网络应用程序......是否有任何类型的支付网关可以将钱发送到客户的银行账户，或者我是否需要与我的银行谈谈（或每月只写一次支票）？翻来覆去，但我能找到的只是接受金钱的门户......

有人可以推荐一个允许对同一张卡进行增量（不定期重复）收费的支付网关吗？

我看过 PayPal - 他们提供定期付款系统，但您只能按计划收取付款（定期收取相同金额），所以它对我不起作用。

我所追求的是一种没有这些限制的支付解决方案——您可以重复向客户收费，而无需再次询问他们的信用卡信息。

换句话说，支付网关应该像 PayPal 一样工作，就您输入信用卡信息一次，您会得到一个令牌/密钥，您可以安全地存储在网站的数据库中，因为这个令牌只能用于将资金从相关卡转移到最初为其创建令牌/密钥的帐户。

请注意，（例如）PayPal 提供的直接付款选项对我也不起作用，因为它要求我（A）将信用卡数据存储在我们的数据库中（非法），或（B）向消费者索要信用卡号码、CVR 和到期日期，每次（不实用）。

在我个人看来，使用 PayPal checkout 和/或 Google checkout 将是一个不错的选择——这些都是人们信任的品牌，而且结帐过程很简单，因为您只需要登录并确认您的购买。

但是我的客户担心看起来很专业——虽然我个人不同意使用第三方结账会让你看起来不专业，但客户也担心用户必须离开他们的网站才能付款。

有什么建议吗？

哦，如果您推荐的支付处理器也有合理的收费表，那当然是一大优势！

我想根据我的会员在我的网站上使用的服务自动向他们收取可变金额的费用。他们会累积欠款，然后每周都会向他们收取这笔款项。有没有一种方法可以做到这一点，而不必将他们的信用卡信息存储在我的数据库中？

（类似于我的上一个问题，但我刚刚意识到我真的不想经历必须安全存储 CC 信息的头痛和责任问题）

我的网站将有一个基本上像信用卡一样工作的信用系统。每个用户都有无限的信用额度，但在每周结束时，他们必须还清。例如，用户可能在 3 月 1 日至 7 日之间进行了多次购买，然后在 3 月 7 日结束时，他们将通过电子邮件收到一份发票，其中列出了他们在一周内的所有购买以及 14 日到期的总额。如果他们不付清，他们的帐户就会被停用，直到他们付清为止。我只是想弄清楚如何实现这一点。

我有他们所有购买的清单，这不是问题，但我只是想弄清楚如何处理它。在第 7 天结束时，我可以设置一个 cronjob 来生成发票，它基本上有一个 id 和到期日期，然后我需要另一个多对多表来将所有购买链接到发票. 那么当用户向他们的帐户添加资金时，我猜它是针对他们当前的未结发票应用的？如果他们在新发票发出时没有还清发票怎么办，所以现在他们有 2 个未结清的，我怎么知道要针对哪个应用呢？或者我是否对任何以前的未结发票进行 cronjob 检查，取消它们，并在新发票中添加一个新项目作为“余额向前（+利息）” ? 您将如何将这笔钱用于发票？每笔付款都必须与发票相关联，还是我可以将其存入他们的帐户信用，然后以某种方式弄清楚哪些已支付，哪些未支付？如果他们在生成发票之前提前付款怎么办？我是在发票生成时从他们的信用中扣除，还是在到期时在一周结束时从他们的信用中扣除？有很多方法可以做到这一点......

谁能描述他们会采取什么方法？

如果有人感兴趣，我的 Invoice 模型目前如下所示（在 Django 中）。InvoiceItems 通过反向 ID 链接到实际的“产品”（FK 在产品上，而不是发票项目以允许不同的项目类型（不同的表）），但我想我会改变它。

我有一个 crontab 设置为每晚午夜运行，以向所有逾期项目添加利息费用，并且每周五早上邮寄发票。

这是我们用来存储 CC 详细信息的模型，这看起来有多安全？

我们所有的信息都使用公钥加密进行加密，密钥对取决于用户（它在服务器上生成，私钥是使用用户密码对称加密的，该密码也在数据库上散列）所以基本上在第一次运行时，用户发送他的密码通过 SSL 连接，密码与盐一起使用以生成 MD5 哈希，密码也用于加密私钥，私钥存储在服务器上。当用户想要付款时，他会发送他的密码。密码解密私钥，私钥解密抄送明细，抄送明细收费。

安全合法地存储信用卡信息非常困难，不应尝试。我无意存储信用卡数据，但我很想弄清楚以下内容：

我的信用卡信息存储在世界某个地方的服务器上。此数据（希望）不会存储在商家的服务器上，但在某些时候需要存储它以验证商家提交的数据所标识的帐户并对其收费。

我的问题是：如果您的任务是存储信用卡数据，您将使用哪种加密策略来保护磁盘上的数据？据我所知，提交的信用卡信息或多或少会被实时检查。我怀疑任何用于保护数据的加密密钥都是手动输入的，因此解密是在运行中完成的，这意味着密钥本身存储在磁盘上。在这样的自动化系统中，您将如何保护您的数据和密钥？

我们的网络应用程序需要符合 PCI 标准，即它不能存储任何信用卡号码。该应用程序是大型机系统的前端，它在内部处理 CC 编号，并且 - 正如我们刚刚发现的那样 - 偶尔仍会在其响应屏幕上吐出完整的 CC 编号。默认情况下，这些响应的全部内容都记录在调试级别，并且从这些响应中解析的内容可以记录在许多不同的地方。所以我无法追查此类数据泄漏的来源。我必须确保在我们的日志文件中隐藏 CC 编号。

正则表达式部分不是问题，我将重用我们已经在其他几个地方使用的正则表达式。但是，我只是找不到任何关于如何使用 Log4J 更改日志消息的一部分的好资料。过滤器似乎受到更多限制，只能决定是否记录特定事件，但不能改变消息的内容。我还发现了用于 Log4J 的ESAPI 安全包装 API，乍一看它承诺做我想做的事。但是，显然我需要用 ESAPI 记录器类替换代码中的所有记录器——这很麻烦。我更喜欢更透明的解决方案。

知道如何从 Log4J 输出中屏蔽信用卡号吗？

更新：基于@pgras 的原始想法，这是一个可行的解决方案：

笔记：

• 我用+而不是屏蔽*，因为我想区分 CID 被此记录器屏蔽的情况、后端服务器或其他任何人完成的情况
• 我使用简单的正则表达式，因为我不担心误报

该代码经过单元测试，因此我相当确信它可以正常工作。当然，如果您发现任何改进的可能性，请告诉我:-)

我有一个电子商务网站，目前我接受 Visa、万事达卡和所有其他主要卡的付款。但是，我遇到的一个问题是接受使用本地借记卡的客户付款。假设来自中国的某人没有主要信用并且他想使用他的当地借记卡，我希望能够接受他的付款，只要合法。我该怎么做？谢谢。