所以我在考虑使用dibs payment
所以我找到了这个节点包装器:DIBS API wrapper for Node.js
但是,这需要我通过发布请求向我的节点服务器发送信用卡信息。
我的问题是:这样安全吗?如果不是我如何确保它是安全的?因此,请求不会被不受欢迎的各方攻击
答案 0 :(得分:3)
他们提供所谓的托管付款窗口" (http://tech.dibspayment.com/D2/Hosted)。在这种情况下,所有数据都将直接发送到DIBS而无需转到您的服务器。它是大多数应用程序的首选解决方案。
如果您想将信用卡数据发送到您的服务器,您需要确保它不会泄露(请参阅https://www.pcisecuritystandards.org/)。它是一个很大的主题(一般来说,它主要与您的服务器和网络基础设施有关)。
答案 1 :(得分:0)
我没有使用Dib,但我使用了Stripe ..
我认为Dibs会以同样的方式做到这一点。这是因为您不能通过互联网接受信用卡详细信息,除非您的公司已获得认证,而且我可以收集的信息可能会花费数千美元。
基本上信用卡信息不会发送到您的服务器,但是附带的Javascript库说Stripe将数据直接发送到Stripe(IOW:绕过您的服务器),条带然后返回一个令牌,然后这个令牌被发送到您的服务器,然后你用它来借记钱等等。
这意味着您和您的用户的浏览器之间永远不会发送任何信用卡信息。这是一个重要的区别,因为除非您认可在您的服务器上存储任何信用卡信息是非法的,并且这包括在内存存储中。
快速浏览一下DIB,似乎并没有这样做。所以请注意,如果您处理CC细节,最好查看当地的法律,甚至在DIB的网站上说明这一点。
网上商店有责任遵守当前的规定 立法。如果您不确定您的网上商店是否包含所需的内容 信息,请联系您的收购方。
得到上述错误,根据你所在的国家,你可能会收到很高的罚款,甚至更糟。 :)
更新:就像@Peteris提到的那样,DIB做了托管选项,这与Stripe类似,卡片详细信息发送到DIB,然后DIB的服务器联系你的站点。
答案 2 :(得分:0)
处理CC信息的商家的标准做法(如果他们这样做的话)是(a)在传输中加密(因此未加密的连接或回退到不安全的协议,例如必须禁用SSL3)和(b)根本不存储 - 不在您的数据库中,不在任何日志中;进行交易并确保完整的CC信息被销毁或匿名化,例如用你可能经常看到的星号代替中间的6位数字。
更常见的做法是确保您和您的系统永远不会看到完整的持卡人数据,并委派其他人来处理安全处理。