Cómo manejar la información de la tarjeta de crédito en mi servidor [cerrado]

Navega tus respuestas
0

Mi empresa desea iniciar un sitio web basado en suscripción y lo estoy implementando con una pasarela de pago.

El problema es que esta pasarela de pago no me brinda ninguna herramienta para cifrar la información de la tarjeta de crédito del cliente antes de que llegue a nuestro servidor.

Entonces, mi pregunta es, ¿cómo debería manejar esta información tan confidencial?

No planeo almacenarlo ni nada, simplemente enviarlo directamente desde el servidor a la pasarela de pago para su validación.

¿Se nos permite manejar la información de la tarjeta de crédito de texto sin formato?

Sé que este es un tema muy abierto, solo quiero que me dirijan a un lugar donde pueda leer y entender más sobre este problema.

    
pregunta WilsonPena 02.12.2017 - 20:47
fuente

2 respuestas

4

Corrí sitios de comercio electrónico durante muchos años y trabajé con muchos procesadores de tarjetas de crédito. Le daré mi respuesta cuando alguien quisiera usar un procesador que requería que los datos de CC llegaran a nuestro servidor antes de ir al procesador:

Nos negamos y encontramos otro procesador.

Probablemente esa no sea la respuesta que estás buscando. Sin embargo, los procesadores de tarjetas de crédito son una moneda de diez centavos en estos días, y hay muchos que tienen API que fomentan activamente las buenas prácticas de seguridad. Como resultado, estás viendo esto de manera incorrecta. No trate de averiguar cómo asegurar este proceso. Solo evítalo todo junto. Raramente tenía clientes que tenían suficientes volúmenes de ventas en línea para obtener descuentos significativos de cualquier procesador, por lo que incluso si obtiene un procesador solo para su sitio web, hágalo. Siempre puedes registrarte con Stripe. Tienen una documentación asombrosa, una gran API diseñada para la seguridad, y su precio es razonable.

Simplemente no lo hagas. Ni siquiera importa lo que digan las reglas de cumplimiento de PCI. No hay ninguna razón para utilizar un procesador que lo obligue a exponer datos confidenciales del usuario de esta manera.

    
respondido por el Conor Mancone 02.12.2017 - 21:09
fuente
1

En resumen, realmente no quieres manejar los datos en absoluto.

A menos que esté fuertemente vinculado por contrato a una pasarela de pago que lo obligue a actuar como intermediario, debe elegir una opción que permita que la pasarela de pago y su cliente interactúen directamente.

La mayoría de los grandes jugadores admiten esto de forma inmediata ... hay dos modelos principales ... incrustas un iframe del proveedor de pagos o lo manejas al redirigir a su sitio y luego regresas al tuyo una vez que el el pago está completo.

En ambos modelos, los datos de la tarjeta nunca entran en contacto con su servidor y, por lo tanto, es (probablemente) compatible con PCI.

Si debe actuar como intermediario, se encontrará con mucho trabajo adicional. Deberá asegurarse de que no se registren datos en ningún momento y de que estén establecidos los controles de acceso adecuados para garantizar que nadie en su red pueda rastrear los datos por cualquier medio. Esto podría incluir una red corporativa completa dependiendo de su configuración.

    
respondido por el ste-fu 02.12.2017 - 21:17
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es manualmente sobre escribir archivos? generando pares de claves públicas y privadas únicas [cerrado]