这可能是一个很长的阅读,因为有一点相关的背景故事。你只是想看到我总结的问题总结。
编辑:我意识到隐藏业务类型没用,它是一个女佣/清洁业务。
我正在与客户合作,他们提供的服务是通过网站订购的,但客户在服务完成之前无需付款。因此,付款通过第三方处理,甚至不在网站上处理任何付款信息。
问题出现在城市。当我们与他们谈判以获得产品许可证时,他们说我们仍然可以按照我们想要的方式收取付款,但我们必须为每个用户存储(或访问)信用卡,以便我们识别或跟踪如果他们违反了法律(比如在工作中攻击我们的一名员工或决定不付款或其他什么)
最初我们认为一个完全不同的电话号码就够了,但他们坚持认为我们需要能够将网站上的用户链接到信用卡。即使他们选择以现金支付,我们也需要一张记录在案的信用卡,我们需要稍后跟踪它们。
如果没有在我们的个人数据库中持有信用卡信息,有没有办法做到这一点?当用户创建一个帐户时,我可以在那时要求提供信用卡,然后将其提供给像条带这样的服务,只是把它放在那里就像是第二个数据库?如果我们通过这条路线,就PCI合规性而言,我们需要做些什么。
我们的老板过去经历过糟糕的经历,糟糕的开发商在没有受到保护的服务器上持有信用卡数据并且结果很糟糕所以他拒绝持有我们身边的任何卡信息我们已经排好了保险如果我们在没有专业安全措施的情况下在现场举行,我们拒绝支持我们。即使我们确实开始持有信用卡信息,我还需要做些什么才能确保它的安全性和标准,我以前从未处理过这个问题。
任何建议或帮助都会很棒我真的被困在这里。
TL; DR:City希望我们能够在服务开始之前将用户链接到信用卡,所以基本上在注册时。商业和健康公司的所有者不希望在我们的数据库中保存信用卡信息。我不知道如何处理这个并让两个人都开心。我学习一些基本的加密吗?我可以使用stripe或者其他东西作为第二个数据库吗?
编辑:为了进一步澄清,我不想使用我们保存的任何信息,我们计划以不同方式向客户收费。这个城市只是想记录它。
答案 0 :(得分:1)
是的,当然有一个解决方案。
有些公司(付款处理公司)正是这样做的,他们收取费用并卸下您的所有责任。
他们投入大量资金来验证法律要求的所有安全措施,包括PCI合规性。
这些公司不仅提供不同的付款方式(例如单笔付款,定期付款等),而且还负责存储一些数据,以便将来向客户付款。
stripe,2checkout和authorize.net只是众多选项中的一小部分。
除非您能够遵守法律要求的所有安全措施,否则您是否考虑过在您自己的服务器上存储任何敏感信息(信用卡信息只是一个示例) - 这是一件令人厌烦且昂贵的事情
祝你好运!