第一次接受信用卡。我需要做啥？

Posted 2023-02-22

【中文标题】第一次接受信用卡。我需要做啥？

【英文标题】：Accepting Credit Cards for the First Time. What do I need to do?第一次接受信用卡。我需要做什么？

【发布时间】：2012-04-22 08:38:13

【问题描述】：

我正在建立一个第一次接受信用卡的网站。

我使用 Drupal 来管理产品和存储内容，但这并不重要。我想帮助建立一个社区生成的与平台无关的信用卡接受要求列表。

我正在寻找一份清单，列出我需要准备的物品，以便安全、负责任地接受信用卡。

我已经做了相当多的研究。

下面的问题很好，但它的重点是获取商家帐户和在现场存储信用卡。我认为大多数 Web 开发人员和中小型组织不需要这样做： Payment Processors - What do I need to know if I want to accept credit cards on my website?

这是我认为我需要的：

固定 IP 地址和 SSL 证书（通过网络主机购买，很容易做到） 在所有购物车和结帐页面上启用 HTTPS（Drupal 功能） 与支付处理商（Stripe、Authorize.net、Paypal Pro）建立关系 开发网站以匹配支付处理器 API（对我来说，这意味着 Drupal 模块） 测试交易 翻转直播 做更多的测试交易

这真的是接受信用卡的全部内容吗？我错过了什么吗？

【参考方案1】：

至少我会在您的服务中添加某种对关键活动的实时监控。密码尝试失败、虚假 URL 和 URL 参数、交易数量/美元金额等。这些指标可以帮助您在恶意行为成为问题之前发现它。

您还需要考虑帐户安全性、如何存储密码（使用 BCrypt 或类似方法进行加盐和哈希处理）和其他个人身份信息。

我会认真地重新考虑存储信用卡信息。即使您愿意遵守 PCI-DSS (http://en.wikipedia.org/wiki/PCI_DSS) 的要求，使用处理器提供的结帐服务也容易得多。

技术要求不是很困难。由于违规而远离聚光灯要困难得多。我经营一家每天处理数千笔交易的公司......这是可能的，但需要持续关注大量风险因素。

如果你选择继续，我会在你上线之前投资一些高质量的道德黑客，以确保你没有错过任何东西。

祝你好运。

【参考方案2】：

基本上，你所说的涵盖了它。也就是说，Baldy 加强安全性的建议是正确的——你正在做交易，这会影响隐私和安全，所以把事情搞定。至于持有信用卡数据，很可能您将使用支付网关，该网关将用户往返于他们的服务器并返回您的网站——信用卡详细信息实际上不会保留在您的网站上——所以不要通过添加您自己的收集敏感数据的表单（或修改您的用户页面）来结束此保护。