首次接受信用卡。我需要做什麼？

Question

我正在設立一個網站，第一次接受信用卡。

我使用Drupal管理產品和存儲內容，但這並不重要。我想幫助構建一個社區生成的與平臺無關的信用卡驗收要求列表。

我正在尋找我需要的東西的清單，以便安全和負責任地接受信用卡。

我已經做了相當數量的研究。

下面的問題很好，但重點在於獲取商家帳戶並在網站上存儲信用卡。我想大多數的Web開發者和中小規模的組織不應該需要做： Payment Processors - What do I need to know if I want to accept credit cards on my website?

這裏就是我想我需要：

1. 固定的IP地址和SSL證書（通過虛擬主機購買，很容易做到）
2. 啓用HTTPS上的所有購物車和結帳頁面（Drupal的功能）
3. 建立與支付處理器（條紋，Authorize.net，貝寶臨）的關係
4. 開發的網站，以配合付款處理器API（對我來說，這意味着一個Drupal模塊）
5. 待辦事項測試交易
6. 翻轉住
7. 做更多的測試數據

這真的是所有有接受信用卡？我錯過了什麼？

Answer 1

至少我會添加一些實時監控您的服務中的關鍵活動。失敗的密碼嘗試，虛假網址和URL參數，交易數量/美元金額等等。這些類型的指標可以幫助您在惡意行爲發生問題之前發現它們。

您還需要考慮諸如帳戶安全性，您如何存儲密碼（使用BCrypt或其他類似方法進行醃製和散列）以及其他個人身份信息。

我會認真重新考慮存儲信用卡信息。即使您願意遵守PCI-DSS（http://en.wikipedia.org/wiki/PCI_DSS）要求，使用處理器提供的結賬服務也會更容易。

技術要求並不十分困難。由於違反而停止出風頭要困難得多。我經營一家每天處理數千筆交易的公司......這是可能的，但它需要持續的關注，以保持高風險因素。

如果您選擇繼續，我會投入一些質量道德黑客，然後再上線以確保您不會遺漏任何內容。

祝你好運。

Answer 2

本質上，你所說的涵蓋了它。也就是說，Baldy提出的加強安全性的建議是重點 - 你正在進行交易，並且有隱私和安全隱患，所以把事情搞砸了。至於持有信用卡數據，賠率是你將與支付網關合作，將用戶轉到他們的服務器並返回到你的網站 - 沒有一個信用卡的細節實際上會保存在你的網站 - 所以不要通過添加您自己的表單（或修改您的用戶頁面）來收集敏感數據，從而在最終運行這種保護。