我将很快用于电子商务网站的在线支付。 这将是一个名为“mercanet”的解决方案,由Atos Solutions提供,并与BNP Paribas银行一起使用。 它将使用二进制文件来执行请求,并且就我阅读文档而言,我只需要向文件提供一些信息,然后返回结果数组。
我想知道是否有任何理由存储信用卡信息?因为如果不以任何方式使用它,我就不会冒险存储它们,甚至加密(因为如果它不可能解密就没用了,如果我们可以解密,那么原因很明显)。
谢谢
编辑:该公司位于法国,但在全球销售。
答案 0 :(得分:3)
一般规则是:绝不存储信用卡信息。如果出现问题,则承担过多的责任,而且与利益相比,您必须采取的步骤将是巨大的。
在美国,我相信它也有法律含义,但我不知道它是什么。
答案 1 :(得分:2)
存储信用卡信息对您和/或您的公司构成巨大责任。除非有充分的理由或您有资源确保数据安全,否则最好不承担此责任。 Check out the PCI compliance standards for further information. S ome states like Minessota have statutes outlining the damages you will be liable for and I am sure the is not the only state that has law on the books like this.当心!
享受!
答案 2 :(得分:2)
关于存储信用卡号码的唯一商业原因是定期付款。但是,如果您支持定期付款,则有几项责任: 您必须遵守商家协议的条款。 大多数商家协议要求您拥有信用卡持卡人的原始签名常设授权。如果客户质疑您的收费,这份签名文件将帮助您。 最佳做法是加密信用卡号码。这是PCI指南中的强制性要求 将经常性付款的期限限制为不超过一年,特别是如果您有“持卡人不在场”(CNP)交易 协议完成后立即清除信用卡详细信息 加密问题是您必须能够在业务流程中稍后解密数据。在选择以加密形式存储卡的方法时,请记住前端Web服务器无需解密它们的原因。数据库层列或表级加密被认为是最佳实践。
答案 3 :(得分:1)
我建议不要存储信用卡信息。它将要求您遵守PCI标准,这将使您接受审核。更不用说如果信息泄露,你很可能会被起诉。让用户每次都输入信息。
答案 4 :(得分:0)
最好只是要求用户在必要时重新输入信息,而不是试图保证信息的安全,并确保遵守所有法律,特别是如果细节落入坏人手中,则风险会更大。
答案 5 :(得分:0)
正如其他人所说,如果可以,最好避免存储信用卡信息以限制您的责任。
由于您的总部设在法国,因此您应该遵循CNIL的建议(无论您是在本地还是在全球范围内销售)。我认为主要要求是向CNIL注册并告知用户您将存储他们的详细信息。以下是一些可能相关的链接:
答案 6 :(得分:0)
我们始终强烈反对存储CC数据。
答案 7 :(得分:0)
几年前,我研究了与ATOS / BNP Paribas的接口,我现在可以告诉你 - 这是关于PCI合规性的噩梦。值得庆幸的是,在我们开始任何深入分析之前,项目得到了很好的解决,但从我记得的情况来看,正如您所描述的那样,通过授权文件传递纯文本卡号,其中包括CSC代码。尼斯。我很确定返回文件还包含敏感信息。
我认为结束日结算是相似的,纯文本卡号(没有令牌ID),因此您需要存储卡号至少直到结算。
我不确定PCI法规在法国的强制要求有多大,但对于我们来说,在英国,PCI正在加速,而这个项目将是一个令人头痛的问题。任何时候卡号都被保存到磁盘上,它们必须加密,而不是像使用你喜欢的加密例程那么简单。您需要考虑密钥管理,共享密钥持有者,密钥轮换等。
自2007年以来可能发生了变化,Mercanet可能与我们接口的系统完全不同(我认为是ATOS Blois)
我肯定会熟悉PCI要求。花费大量时间进行分析,并强烈考虑尽早聘请QSA(PCI认证的安全评估员)获取建议。