Stockage des détails de carte de crédit
Je dois stocker les numéros de carte de crédit pour la facturation récurrente par l'intermédiaire de notre marchand tiers.
Dois-je respecter certaines normes concernant la conservation des détails? Nous acceptons les cartes de crédit depuis des années, mais nous avions l'habitude de les supprimer dès que nous en avions fini. Nos clients ont demandé que nous stockions leurs coordonnées afin de ne pas avoir à payer manuellement leurs frais d'abonnement chaque mois.
Passer à Paypal pour utiliser leurs abonnements n'est pas une option. Nous devons les stocker et je dois m'assurer que le stockage est sécurisé!
Nous utilisons MSSQL 2005 pour nos données, et tout est déjà SSL.
Vous devrez suivre (à la lettre) et de préférence dépasser la norme PCI DSS . Ce n’est en aucun cas une tâche facile à accomplir, ni une tâche banale.
Je recommande fortement de trouver un processeur tiers capable de gérer cela pour vous et de l'intégrer à votre système de facturation. Cela va bien au-delà du simple fait de SSL et du cryptage des informations de la base de données. Vous devez également surveiller les accès, détecter les intrusions, mettre en place des systèmes capables de notifier uniquement les personnes concernées en cas de violation (et de déterminer quelles données ont pu être compromises), etc.
Ensuite, il existe un accès physique aux serveurs, au réseau, etc. Cela signifie une armoire verrouillée qui n'est pas partagée sur des serveurs que vous possédez, où le réseau local physique est également protégé. La conformité ne va pas être bon marché ou facile.
Vraiment, déployez tous les efforts possibles pour le transférer à un tiers. La responsabilité seule ne vaut tout simplement pas le risque sauf si vous parlez de transactions qui représentent des centaines de milliers de (insérez votre devise ici) mensuellement. Dans ce cas, les frais que vous enregistrez peuvent justifier de faire appel aux talents nécessaires pour mettre en œuvre et surveiller les systèmes qui stockent les informations. Tu auras besoin:
- Programmeurs système (vous aurez besoin de points d’audit au niveau du noyau et du système de fichiers)
- IDS/IPS Gurus (sauf si vous aimez le lock-in du vendeur)
- Personnel 24/7/365 pour surveiller les alertes générées par les systèmes conçus par les experts. Ces personnes ne sont pas bon marché, elles décident de débrancher la facturation ou de signaler un bogue dans les algorithmes que vous utilisez.
Et encore une fois, vous pouvez transférer tout cela à une tierce partie, à moindre coût.
Ce n'est jamais une bonne idée de stocker des détails de carte de crédit toujours. Vous vous apprêtez à une chute, toute passerelle de paiement décente vous permettra d'effectuer des transactions récurrentes avec un jeton sans que vous ayez à stocker les détails de votre carte de crédit.
Vous trouverez de nombreuses réponses à vos questions sur le site Web Guide de conformité du secteur des cartes de paiement . Leur page Liens est particulièrement utile.
La meilleure suggestion serait de laisser un tiers gérer ce stockage.
Votre commerçant tiers n'inclut-il pas l'option du paiement par carte de crédit en continu - la plupart des plus importants ici au Royaume-Uni le font certainement (DataCash, RBS World Pay, etc.).
Fondamentalement, vous soumettez les détails de la carte une fois à eux, avec une demande pour une autorité CCC (qui, si je me souviens bien, doit inclure le calendrier prévu et le montant normal), puis vous recevez un jeton de retour. Ensuite, tous les mois, quel que soit le type de jeton que vous interrogez, le commerçant traite les transactions suivantes pour vous. Il est également généralement possible de les configurer pour des requêtes variables, ad-hoc. La principale exigence de votre part est d'informer le client (généralement au moins 10 jours) avant d'accepter le paiement.
De cette façon, vous ne stockez pas les détails de CC, ils sont tous gérés par des personnes répondant aux exigences.
Cette procédure revient à effectuer des préautorisations sur une carte. Vous ne devriez donc jamais avoir à stocker la carte de crédit, mais simplement un jeton du commerçant que vous pouvez appeler si nécessaire.
Nous devons les stocker et je dois m'assurer que le stockage est sécurisé!
Une question: pourquoi?
Je ne le demande que parce que je dois m'occuper moi-même de PCI, et le suivre est une tâche pénible. Même si mon travail quotidien nous qualifie d’élément le plus bas pour la conformité PCI, il reste encore beaucoup à faire. Le chiffrement, les considérations de moindre privilège, la sécurité du système d'exploitation du serveur, la sécurité du réseau interne, la sécurité des frontières, les audits de tiers, tout est difficile à suivre. Et c'est même avec nous ne stockant pas d'informations de carte de crédit!
(Remarque: si vous faites du commerce électronique, vous devez être conforme à la norme PCI même si vous ne stockez pas les données CC. Si vous ne vous plaignez pas maintenant, considérez-vous chanceux de ne pas vous avoir mordu.)
Demandez à votre processeur de le gérer. Nous utilisons Authorize.net et ils ont une merveilleuse API qui nous permet de créer notre propre système frontal personnalisé, mais ils se chargent de stocker et de gérer les paiements réels. Si nous voulions configurer une facturation récurrente, ils ont un système pour stocker les informations. Honnêtement, je leur fais plus confiance que moi-même.
Comme d'autres personnes l'ont mentionné, vous recherchez une norme PCI-DSS. En outre, comme d'autres personnes l'ont mentionné, la mise en conformité sera probablement trop coûteuse pour les petits sites.
Passer à Paypal pour utiliser leurs abonnements n'est pas une option. Nous devons les stocker et je dois m'assurer que le stockage est sécurisé!
Vous pouvez stocker localement un identifiant qui identifie les informations de carte de crédit du client sur votre passerelle de paiement. Je ne suis pas sûr que Paypal offre cette option, mais d’autres passerelles de paiement le font.
N'oubliez pas non plus que même si vous ne stockez pas les données de carte de crédit sur un disque, vous devez respecter certaines exigences de la norme PCI-DSS. De loin, le moyen le plus simple de se conformer est de ne prendre aucune donnée CC (c'est-à-dire: en postant le formulaire de paiement directement à la passerelle de paiement).
Des services tels que http://chargify.com/ offrent une couche supplémentaire par-dessus les passerelles de paiement existantes. Ils proposeront probablement toutes sortes de solutions pour stocker les cartes de crédit, mettre en œuvre des paiements récurrents et même créer des rapports pour vous.
Cela vous permettra de contourner l’ensemble du problème de responsabilité et de conformité PCI. Une de mes préoccupations est de savoir si un jour vous souhaitez changer de fournisseur, de compte marchand ou de passerelle. Comment emmenez-vous vos 10 000 clients? Est-ce qu'ils remettent une base de données de cartes de crédit? Est-ce que le travail avec un concurrent pour transférer les informations de carte de crédit sur?
J'en doute. Il est fort probable que vous deviez demander à tous vos clients de soumettre à nouveau leurs informations de facturation si vous changez de fournisseur. C'est un petit argument en faveur du stockage des informations de carte de crédit vous-même. Cela ne vaut probablement que si vous allez avoir beaucoup de clients et beaucoup de revenus. Je serais très curieux d'entendre les opinions des autres peuples sur cette énigme particulière.
Je n'ai pas encore assez de représentants pour faire un vote ou un commentaire, cela va donc dans une nouvelle réponse. Comme a souligné zhaph , de nombreuses sociétés de commerce proposent un système de paiement récurrent dans lequel elles gèrent le stockage pour vous.
Nous utilisons Authorize.net pour tous les clients qui ne souhaitent pas utiliser Paypal et cela fonctionne assez bien (notre seul gros reproche est que la clé API est réinitialisée tous les 6 mois et qu'ils ne se donnent pas la peine de vous avertir quand cela se produit. la page ne fonctionne plus). Leur API est basée sur XML et vous pouvez trouver des wrappers pour cela dans à peu près toutes les langues.
Notez que si vous décidez finalement de stocker les informations de carte de crédit dans votre propre base de données, vous ne devez en aucun cas enregistrer le code de sécurité à 3 chiffres . Cela est strictement interdit par les associations de cartes.
En passant, vous n’avez pas besoin du code de sécurité de la carte pour effectuer une transaction. Cela améliore le taux de détection de la fraude, mais vous ne devriez pas en avoir besoin si vous entretenez une relation continue avec le client. (Et même si vous pensez en avoir besoin, vous ne pouvez pas le stocker. Quoi qu'il en soit.)
J'appuie également les autres recommandations pour ne pas stocker les informations. Authorize.Net's Customer Information Manager est simple et peu coûteux à utiliser. Il vous coûtera BEAUCOUP moins cher de l’utiliser plutôt que de supporter les coûts PCI inhérents au stockage des informations sur vos propres serveurs.
Si vous allez stocker des cartes de crédit dans votre base de données, le cryptage est essentiel. Vous voudrez aussi (ou aurez peut-être besoin) de faire effectuer par un tiers des tests de conformité de routine pour vous assurer que vos systèmes sont à la hauteur.