存储客户的付款细节 - PCI合规性

Question

我的工作有一个新的客户的一个项目，他们已经遇到了一些问题得到处理，由于业务类型的在线支付商家账户。该系统的工作方式与Just Eat/Expedia等类似，客户在网站上订购，然后传递到场地，网站将获得佣金。

客户问我们是否可以存储在我们的数据库（加密）客户付款详细信息，然后将它们传递到会场使用他们的内部卡系统处理自己。我知道PCI合规性问题与此有关，但我无法直接回答我们需要做的事情。我已经和几家托管公司谈过话了，有人说我们需要一个拥有单独的Web和数据库服务器的集群，而另一个则说我们不会。我从来没有做过这样的事情之前，我通常只是从农场支付处理你这样的人SagePay等

这是所提出的支付流程：

• 客户下达订单在网站上
• 付款细节存储在数据库中
• 客户通过电子邮件发送订单确认。会场通过电子邮件发送订单通知。如果场地接受订单，订单和付款细节的内部离线处理
• 一旦场地已采取内部支付传递，订单确认和付款细节从站点数据库
• 客户通过电子邮件发送删除最终订单确认

我要确保任何处理是正确的，我想的最后一件事是被攻击的部位，采取的付款细节，并留下承担任何损失！

任何意见将不胜感激。

Answer 1

您未能包含实际问题......

但是：PCI遵从性并非平凡;有多个级别的合规性，并且standards有点密集...一般来说，只要您不存储付款细节，遵守相对容易。如果您确实存储付款详情，您的合规要求将变得更加复杂，并且可能包括诸如审核员工等流程。

您打算将支付细节转移到场馆看起来像一个巨大的红旗 - 您基本上将信用卡资料提供给第三方，我作为消费者不会感到高兴，并且几乎肯定不允许任何PCI标准。

值得一说话你有选择的专业的支付网关提供商 - 例如，大多数信用卡交易由一个“授权”的号召，它提交信用卡详细资料和数额;该服务检查该卡是否有利于金钱，并且“圈定”帐户上的金额，并且发回授权码。实际的“结算”可能会在稍后发生 - 对于某些卡最多可能需要10天，并且只能使用授权码，而不能使用完整的卡详细信息。专业支付提供商会知道您有什么选择。

它可能会为你与你的场馆共享授权码，允许他们采取的付款（尽管这几乎肯定会要求您都使用相同的网关提供商）。

这将是简单的改变你提到包括认证/解决逻辑流程：

• 客户下达订单在网站上使用信用卡的详细信息，商店授权码
• 网站的相关问题“权威性”。
• 客户通过电子邮件发送订单确认。
• 会场通过电子邮件发送订单通知。
• 如果场地接受订单，你执行“摆平”交易
• 您确认订单详细场地
• 客户通过电子邮件发送一个最终订单确认
• 每周/每月/不管你发给各会场的报告显示未付金额并向他们发送支票或任何东西。

Answer 2

另一种方法是将信用卡信息的存储完全从您的手中拿出来，并将其负担转移给其他有专业知识和经验的人，同时让您轻松向客户收费必要。 Authorize.Net提供他们的Customer Information Manager API，允许您为您的客户创建付款资料。他们处理信用卡信息的存储并为您提供付款ID。然后，您可以根据需要对付该付款ID，而无需访问实际的付款细节。