¿Almacenar tarjetas de crédito para pagos automáticos?

13

No tengo experiencia con el almacenamiento de tarjetas de crédito y no sé nada sobre el final legal de esto.

La compañía para la que trabajo / desarrollo, quiere almacenar tarjetas de crédito para procesar los pagos automáticos de las cuentas que se encuentran en la opción de pago.

¿Alguien conoce un sitio que establece las pautas o tiene experiencia en almacenar información de tarjetas de crédito internamente? He escuchado que cualquier servidor que almacene la información de la tarjeta no tiene permitido el acceso a Internet y que toda la información debe estar encriptada.

¿Alguien puede proporcionar algún comentario? ¿O saber de un servicio que maneja esto para las empresas?

    
pregunta Jeff 08.09.2011 - 20:50
fuente

7 respuestas

22

Hay muchas formas diferentes en las que PCI afecta lo que haces; Me gustaría señalar los estándares de seguridad de datos (PCI-DSS). Entre muchas otras cosas, requieren una autenticación sólida para cualquier persona que acceda al sistema de forma remota y tienen una amplia variedad de restricciones sobre qué tipo de datos puede mantener.

Ni siquiera piense en almacenar tarjetas de crédito sin entender el PCI.

En altos niveles de ventas, tendrá que ser auditado por un tercero acreditado, y las auditorías pueden ser bastante estrictas, así que comience a documentar pronto con eso en mente.

    
respondido por el Steve Dispensa 08.09.2011 - 21:34
fuente
6

Se refiere a la conformidad de PCI (industria de tarjetas de pago): enlace

Además de los requisitos legales para el área en que opera su empresa.

    
respondido por el Steve 08.09.2011 - 21:18
fuente
6

Como dijeron Steve y SteveS, almacenar tarjetas de crédito haría que su negocio quedara bajo PCI-DSS. Sin la infraestructura adecuada ya existente, esto puede ser una tarea monumental. Aquí hay algunas cosas que se me ocurren de la cabeza:

  • La transmisión de la información de la tarjeta de crédito debe estar encriptada.
  • Las redes y cada servidor / estación de trabajo en la red requieren un firewall activo e IDS.
  • Las estaciones de trabajo y los servidores requieren antivirus.
  • Las contraseñas deben cambiar cada 90 días.
  • El acceso a las máquinas en la red debe estar restringido.

Esa es solo una versión muy corta de una lista muy larga, encontrará la versión completa: enlace . También hay capacitación de PCI , que puede ayudarlo a comprender mejor los requisitos de PCI. Hay consultores que se especializan en el cumplimiento de PCI, es posible que desee consultar con otras compañías o firmas de auditoría de seguridad de TI en el área para obtener recomendaciones. La mejor de las suertes.

respondido por el nickdew 09.09.2011 - 07:49
fuente
5

Le sugeriría que utilice PayPal Payments Pro en el sitio web en combinación con las transacciones de referencia a través de la API DoReferenceTransaction.

El sitio web Payments Pro Hosted le permite incrustar el formulario de pago de PayPal en un iframe en su sitio (la opción "Pagar con PayPal" se puede desactivar a petición). Además, al utilizar la API DoReferenceTransaction, puede volver a facturar a un usuario en cualquier horario simplemente haciendo referencia a un ID de transacción anterior (hasta hace tres meses).
La belleza de esto es que no necesitará almacenar una sola pieza de datos de identificación personal, excepto un ID de transacción de PayPal.

ver enlace
así como
enlace

Aún tendría que ser (algo) compatible con PCI, pero no tanto como con una cuenta de comerciante regular directamente integrada en su sitio.

Especialmente sin experiencia previa, sería prudente dejar que alguien más se preocupe por ello.

    
respondido por el Robert 08.09.2011 - 23:01
fuente
2

Le sugiero que no presente su propia solución aquí. Utilice las API proporcionadas por Authorize.Net y otros para implementar esta funcionalidad.

    
respondido por el getahobby 09.09.2011 - 03:46
fuente
2

Como han señalado otros comentaristas, debe evitarse el almacenamiento de números de tarjetas de crédito si es posible.

Si está utilizando Authorize.net para gestionar transacciones con tarjeta de crédito, debe investigar ARB ( Facturación recurrente automatizada) y CIM (Administración de información del cliente, estas ofertas opcionales le permiten configurar cuentas de clientes ese enlace a su sistema a través de un ID de cliente para que pueda almacenar datos confidenciales de clientes de forma remota y programar transacciones futuras, sin tener que almacenar números de tarjetas de crédito o direcciones de facturación.

    
respondido por el zetetic 14.09.2011 - 08:35
fuente
2

El método más rentable para almacenar información de tarjetas de crédito y cumplir con el cumplimiento de PCI sin mucho trabajo y esfuerzo sería utilizar los servicios de AWS de Amazon. Acaban de cumplir con los requisitos de PCI en 2010.

Echa un vistazo aquí:

enlace

Este es el método más simple que conozco para almacenar información de tarjetas de crédito para su negocio.

    
respondido por el Bug Magnet 05.11.2011 - 07:26
fuente

Lea otras preguntas en las etiquetas