Php - 将信用卡信息存储在服务器之外？

Posted 2023-02-22

【中文标题】Php - 将信用卡信息存储在服务器之外？

【英文标题】：Php - Store credit card information off server?

【发布时间】：2017-01-19 02:48:48

【问题描述】：

这可能是一个相当长的阅读，因为有一些相关的背景故事。你们中的一些人只是想看看我在最后写的总结的问题。

编辑：我意识到隐藏业务类型没有用，它是女佣/清洁业务。

我正在与客户合作，他们提供的服务是通过网站订购的，但客户在服务完成之前无需付款。因此，付款是通过第三方处理的，甚至在网站上也没有处理任何付款信息。

现在问题出在这座城市。当我们与他们谈判以获得产品许可证时，他们说我们仍然可以按照我们想要的方式收取付款，但我们必须为每个用户存储（或访问）一张信用卡，以便我们可以识别或跟踪如果他们违反了法律（比如在工作中袭击我们的一名员工或决定不付钱等等）

最初我们认为一个完全不同的电话号码就足够了，但他们坚持认为我们需要能够将网站上的用户链接到信用卡。即使他们选择用现金支付，我们也需要一张记录在案的信用卡，以防我们以后需要跟踪他们。

有没有办法在我们的个人数据库中不保存信用卡信息的情况下做到这一点？当用户创建帐户时，我可以在那个时候要求一张信用卡，然后将其提供给像 stripe 这样的服务，然后把它保存在那里，就像第二个数据库一样？如果我们走这条路，在 PCI 合规方面我们需要做些什么。

我们的所有者过去有过糟糕的经历，糟糕的开发人员将信用卡数据保存在未受保护的服务器上，结果很糟糕，因此他拒绝在我们这边保存任何信用卡信息还有我们已经排队的保险如果我们在没有专业安全措施的情况下将其保留在现场，则拒绝进一步支持我们。即使我们确实开始持有信用卡信息，我究竟需要做什么来确保它的安全和符合标准，我以前从来没有处理过这种情况。

任何建议或帮助都会很棒我真的被困在这里了。

TL;DR：City 希望我们能够在服务开始之前将用户链接到信用卡，所以基本上是在注册时。企业和保险公司的所有者不想将信用卡信息保存在我们的数据库中。我不知道如何处理这件事并让双方都开心。我会学习一些基本的加密吗？我可以使用条带或其他东西作为第二个数据库吗？

编辑：为了进一步澄清，我不想使用我们保存的任何信息，我们计划向客户收取不同的费用。这座城市只想把它记录在案。

【问题讨论】：

我会查看 Authorize.net CIM

这个服务好像主要是用来收款的，如果我只是用这个服务来保存信息，不实际用它来处理任何付款，可以免费使用吗？我问我的原因是我们已经有一个支付系统和支付终端设置

Authorize.net 不是免费使用的，它的整个想法是，一旦你把它放到他们的系统上，你就无法取回它，你所能做的就是使用令牌提交付款等等。将信用卡存储在另一个数据库中的系统几乎没有任何好处，并且需要检索它而不是将其存储在您自己的数据库中。不幸的是，我想不出任何系统可以让你这样做，抱歉。

IMO 这更像是一个律师的问题，他可能会帮助你对抗不合理的要求。

似乎最简单的解决方法是将信息存储在我的服务器上，并让所有者和保险公司相信它会得到很好的保护。任何人都知道在哪里可以解决这个问题？

【参考方案1】：

是的，当然有解决方案。

有些公司（支付处理公司）正是这样做的，他们收取费用并免除您的所有责任。

他们投入大量资金来验证法律要求的所有安全措施，包括 PCI 合规性。

这些公司不仅提供不同的付款方式（例如单次付款、定期付款等），而且还负责存储一些数据以供客户将来付款。

stripe、2checkout 和 authorize.net 只是众多选项中的一小部分。

您是否想过在您自己的服务器上存储任何敏感信息（信用卡信息只是一个示例），除非您能够遵守法律要求的所有安全措施 - 这是一件令人厌烦且昂贵的事情.

祝你好运！

【讨论】：

谢谢，这似乎是最好的选择