Comment les sites Web stockent-ils les numéros de carte de crédit? Ont-ils des bases de données distinctes en mode hors connexion avec un accès restreint, ou utilisent-ils des hachages personnalisés réversibles?

Ryan Doherty

Ryan DohertyDéveloppeur Web indépendant et ingénieur de performance.

Répondu il y a 437w

Si vous stockez les correcteurs CC correctement, vous ne le ferez pas. Vous utiliserez une passerelle de paiement / fournisseur pour le faire à votre place. Vous devez toujours respecter les consignes de sécurité (certification PCI), car vous voyez techniquement les numéros de carte de crédit.

Le fournisseur de paiement stockera le CC et vous donnera un identifiant pour ce CC. Ensuite, vous pouvez facturer le CC via le fournisseur de paiement. Ils vont également gérer des choses comme les paiements récurrents.

Christine Speedy

Christine Speedy, Certains de mes clients B2B acceptent American Express, d’autres pas.

Répondu il y a 299w · L'auteur dispose de réponses 246 et de vues de réponses 272.5k

Cela dépend de leur programmation et de la passerelle. À moins qu’ils ne l’annoncent, le payeur n’a aucune idée de la méthode utilisée par un site Web, car elle repose sur des éléments cachés. Ainsi, acheteur méfiez-vous.
La solution la plus largement recommandée consiste à utiliser une passerelle de partie 3rd qui stocke les données de paiement sensibles sur leurs serveurs PCI DSS et les remplace par un identifiant de sécurité unique ou "jeton", pouvant être utilisé pour recharger à nouveau la carte. Le client doit accepter la facturation récurrente et le reçu doit indiquer qu'il s'agit d'une transaction de facturation récurrente pour les paiements futurs.
Le commerçant ne devrait jamais avoir accès aux numéros de carte stockés. Cela irait à l'encontre de la création d'un jeton.
Comme d'autres commentaires, les hachages personnalisables réversibles sont une idée terrible car les données de carte complètes sont toujours vulnérables au vol interne et à une foule d'autres problèmes potentiels de vol d'identité.

Leggi:  Qui sont les rois tamouls notables de l'histoire et quels sont leurs actes?

Chris Muscarella

Chris Muscarella

Mise à jour il y a 145w

À moins que vous ne disposiez d'une somme d'argent décente et d'une grande expertise, il est extrêmement déconseillé de stocker des informations de carte de crédit sur vos propres serveurs, même si vous les chiffrez. Même si vous utilisez quelque chose comme un hachage MD5, votre base de données avec les numéros de carte de crédit n'est pas accessible par le Web extérieur, etc., c'est quand même une mauvaise idée.

Les personnes qui stockent des informations CC non chiffrées dans une base de données SQL risquent de détruire leur réputation professionnelle.

Grande passerelle de paiement: Braintree Payment Solutions. Vous pouvez les utiliser comme banque de données sécurisée. Malheureusement, ils exigent que vous possédiez votre propre compte marchand et que vous deviez être bien financé ou posséder un volume et un historique de traitement respectables.

L’API de PayPal, moins excellente mais passable, vous permet de stocker des éléments en tant que transaction de référence et d’utiliser PayPal comme magasin de données CC.

Mise à jour de janvier 2016: utilisez simplement Stripe.

Simon Brown

Simon Brown, Nerd de la sécurité de l'information dans une banque.

Répondu il y a 437w

Le meilleur conseil: n'essayez même pas; vous n'avez pas besoin de.

Comme tout le monde l’a dit, installez une passerelle de paiement pour gérer les cartes pour vous et ne stockez même pas temporairement les données des cartes de crédit dans vos systèmes.

Malgré tout, si vous vous engagez dans cette voie, commencez par la configuration minimale requise dans PCI-DSS [1], principalement dans l'exigence 3.

Leggi:  Comment recevoir de l'argent de mon site web au Nigeria puisque PayPal n'est pas disponible

1 https://www.pcisecuritystandards...

Shoresh Shafei

Shoresh Shafei, Data Scientist chez Spreedly, doctorat en physique

Répondu il y a 118w

Le problème de stockage des informations de carte de crédit sur les passerelles de paiement est lié aux taux de déclin ou lorsque les entreprises s’étendent vers de nouveaux emplacements géographiques ou de nouvelles devises non prises en charge par une seule passerelle.

Il existe une approche plus moderne pour stocker les cartes de crédit, les protéger, se conformer aux normes de sécurité des données du secteur des cartes de paiement (PCI DSS) et permettre de travailler avec plusieurs passerelles dans le monde. Stocke et numérise les cartes de crédit de manière ciblée, facilite la conformité PCI et permet aux entreprises de travailler avec plusieurs passerelles via une API unique.

Charles Iliya Krempeaux

Charles Iliya Krempeaux

Répondu il y a 437w

J'ai vu de nombreux sites Web stocker des informations CC sous forme de texte non chiffré dans une base de données SQL.

La question est alors de savoir dans quelle mesure cette base de données est sécurisée. (Et cela dépend du site.)

Bien entendu, tous les sites Web ne suivent pas cette pratique. Certains chiffrent le numéro CC en quelque sorte. Certains ne le stockent même pas eux-mêmes, mais le font pour le fournisseur de passerelle de paiement.

Donc ça varie.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.