2

初めてクレジットカード対応のサイトを立ち上げました。

Drupal を使用して製品を管理し、コンテンツを保存していますが、それは重要ではありません。プラットフォームにとらわれないクレジット カードの受け入れ要件について、コミュニティが作成したリストの作成を手伝いたいと思います。

クレジット カードを安全かつ責任を持って受け入れるために必要なチェックリストを探しています。

私はかなりの量の研究をしました。

以下の質問は適切ですが、マーチャント アカウントの取得とサイトでのクレジット カードの保管に焦点を当てています。ほとんどの Web 開発者や小規模から中規模の組織は、これを行う必要はない と思います。

これが私が必要だと思うものです:

  1. 固定 IP アドレスと SSL 証明書 (Web ホストから購入、非常に簡単)
  2. すべてのカートとチェックアウト ページで HTTPS を有効にする (Drupal 機能)
  3. 支払い処理業者 (Stripe、Authorize.net、Paypal Pro) との関係を設定する
  4. 支払い処理 API に対応するサイトを開発する (私にとって、これは Drupal モジュールを意味します)
  5. テスト取引をする
  6. フリップしてライブ
  7. より多くのテスト取引を行う

クレジットカードの受付は本当にこれだけですか?何か不足していますか?

4

2 に答える 2

1

少なくとも、サービスの主要なアクティビティをリアルタイムで監視する機能を追加します。パスワードの試行の失敗、偽の URL と URL パラメーター、トランザクションの数量/金額など。これらの種類のメトリックは、悪意のある動作が問題になる前に検出するのに役立ちます。

また、アカウントのセキュリティ、パスワードの保存方法 (BCrypt などを使用してソルト化およびハッシュ化) やその他の個人を特定できる情報についても考慮する必要があります。

クレジットカード情報を保存することを真剣に再考します。PCI-DSS (http://en.wikipedia.org/wiki/PCI_DSS) の要件に準拠する意思がある場合でも、プロセッサが提供するチェックアウト サービスを使用する方がはるかに簡単です。

技術要件はそれほど難しくありません。侵害のために脚光を浴びないようにすることは、はるかに困難です。私は、1 日に数千件のトランザクションを処理する会社を経営していました...可能ですが、リスク要因を常に把握するには、かなりの継続的な注意が必要です。

続行することを選択した場合は、ライブに移行する前に、いくつかの質の高い倫理的ハックに投資して、何も見逃していないことを確認します.

幸運を。

于 2012-04-10T02:26:40.007 に答える
1

基本的に、あなたが述べていることはそれをカバーしています。とはいえ、セキュリティを強化するという Baldy のアドバイスは的を射ています。トランザクションを行っており、プライバシーとセキュリティに影響があるため、物事をボルトで固定してください。クレジット カード データの保持に関しては、ユーザーをサーバーに往復させてサイトに戻す支払いゲートウェイを使用する可能性があります。クレジット カードの詳細は実際にはサイトに保持されません。機密データを収集する独自のフォームを追加する (またはユーザー ページを変更する) ことによって、この保護に終止符を打たないでください。

于 2012-04-11T13:52:31.797 に答える