Tratar con datos de tarjetas de crédito que no se cargan directamente

Navega tus respuestas
4

Tengo un cliente que es revendedor de paquetes de vacaciones. Durante años, han tenido un formulario de pago en su sitio donde el usuario final completaría los datos de su tarjeta de crédito y la información se envía por correo electrónico al revendedor. MALO ... lo sé. La única seguridad que habían implementado fue que la página era SSL.

El cliente inicia sesión en su cuenta de mayorista y carga la tarjeta allí.

Como nuevo cliente, les dijimos que esto es malo y que debe manejarse de manera diferente.

Mi pregunta es, ¿cuál sería el método adecuado para almacenar temporalmente los datos de la tarjeta de crédito? ¿O sabe de un servicio al que se pueden pasar los datos completos de la tarjeta de crédito pero no se puede cargar y es seguro, compatible con PCI? Tendrían que iniciar sesión para ver la tarjeta de crédito y luego cargarla a través de su cuenta mayorista.

Realmente no quiero almacenar los datos de la tarjeta de crédito en la base de datos de su sitio web ... Pregunté, preguntando si el mayorista les proporcionó opciones de publicación silenciosa o si estoy incrustado en un formulario que puedan usar.

Busqué en Stripe pero almacena la tarjeta como un token.

Cualquier consejo es muy apreciado.

Honestamente, creo que toda esta solicitud de mi (cliente potencial) está fuera de control y quiero asegurarme de que la manejemos de manera correcta, segura y adecuada.

    
pregunta user1447679 11.11.2014 - 21:52
fuente

3 respuestas

1

Bueno, si su mayorista no ofrece una forma automatizada de procesar datos, tendrá dificultades para no almacenar la información de la tarjeta de crédito. Esto significa que probablemente también tendrá que obtener SAQ-D.

Almacenar el token de una tarjeta no es lo mismo que almacenar los detalles de la tarjeta. En su caso, tendrá que almacenar el PAN y el código de verificación durante el tiempo que no se realice la transacción (en este caso, el cargo por el Mayorista). Almacenar esos datos es lo que quiere evitar. Un token es mucho mejor en este caso. Aún tendrá que tener mucho cuidado con la forma en que almacena estos tokens, pero como no almacena datos de CC confidenciales, no es necesario que obtenga SAQ-D.

    
respondido por el Lucas Kauffman 27.11.2014 - 07:42
fuente
0

Parece que el Administrador de información al cliente (CIM) de Authorize.Net sería una buena solución.

De enlace : 

Use Customer Information Manager (CIM) to tokenize and store your customers'
sensitive payment information on our secure servers, simplifying your PCI DSS
compliance as well as the payments process for returning customers and recurring
transactions.
    
respondido por el mti2935 22.04.2015 - 02:07
fuente
-1

¿No podrían utilizar algo así como una configuración de Sagepay (Reino Unido)? ¿Todo lo alojado en el sitio de sagepay nada guardó su fin? Existen implicaciones en cuanto a los costos, pero reducirían el alcance de forma masiva si todos se subcontrataran. Lo siento si esto ya se ha mencionado o es demasiado obvio, pero es solo un pensamiento.

Jim

    
respondido por el James 22.12.2014 - 16:53
fuente

Lea otras preguntas en las etiquetas

¿Qué hace StarVision de Lockheed y cuáles son algunos productos similares en el mercado? [cerrado] Una forma segura de cifrar una conexión entre 2 clientes que protegen contra adversarios tanto pasivos como activos