php - 顧客の支払い詳細の保存 - PCI コンプライアンス

Question

私は新しいクライアントとのプロジェクトに取り組んでいますが、ビジネスの種類が原因で、オンライン支払いを処理するためのマーチャント アカウントを取得するのに問題がありました。このシステムは、Just Eat/Expedia などと同じように機能し、顧客がサイトで注文してから会場に渡され、サイトが手数料を取ります。

クライアントは、顧客の支払いの詳細をデータベースに (暗号化して) 保存し、それを会場に渡して、社内のカード システムを使用して処理できるかどうかを尋ねました。これには PCI コンプライアンスの問題があることは承知していますが、何をする必要があるかについて正確な回答を得ることができませんでした。私はいくつかのホスティング会社と話をしましたが、ある会社は別の Web サーバーとデータベース サーバーを備えたクラスターが必要だと言っていますが、別の会社はそうしないと言っていました。私はこれまでにこのようなことをしたことがありません。通常は、SagePay などの誰かに支払い処理を委託するだけです。

提案された支払いフローは次のとおりです。

• お客様がウェブサイトで注文する
• 支払いの詳細はデータベースに保存されます
• 顧客に注文確認メールが送信されます。会場には注文通知がメールで送信されます。会場が注文を受け入れると、注文と支払いの詳細が社内のオフライン処理のために送信されます
• 会場が社内で支払いを行うと、注文が確認され、支払いの詳細がサイトのデータベースから削除されます
• お客様に最終注文確認メールが送信されます

私はすべてのプロセスが正しいことを確認したいと思っています。私が望んでいるのは、サイトが攻撃され、支払いの詳細が盗まれ、損失の責任を負わされることです!

アドバイスをいただければ幸いです。

Answer 1

実際の質問を含めることができませんでした....

ただし、PCI への準拠は簡単ではありません。コンプライアンスには複数のレベルがあり、標準は少し複雑です...一般に、支払いの詳細を保存しない限り、コンプライアンスは比較的簡単です. 支払いの詳細を保存する場合、コンプライアンス要件はより複雑になり、従業員の審査などのプロセスが含まれる場合があります。

支払いの詳細を会場に転送するというあなたの意図は、大きな危険信号のように見えます.あなたは基本的にクレジットカードの詳細を第三者に提供しています.規格。

利用可能なオプションについて専門の支払いゲートウェイ プロバイダーに相談する価値があります。たとえば、ほとんどのクレジット カード取引は、カードの詳細と金額を送信する「承認」呼び出しで構成されています。このサービスは、カードがお金に見合っているかどうかをチェックし、アカウントの金額を「リング フェンス」し、認証コードを返します。実際の「決済」は、カードによっては最大 10 日後に発生する可能性があり、完全なカードの詳細ではなく、認証コードのみを使用できます。専門の支払いプロバイダーは、あなたがどのようなオプションを持っているかを知っています.

認証コードを会場と共有して、支払いを受けられるようにすることもできます (ただし、これにはほぼ確実に、すべて同じゲートウェイ プロバイダーを使用する必要があります)。

あなたが言及したフローを変更して、auth/settle ロジックを含めるのは簡単です。

• お客様がウェブサイトで注文する
• あなたのサイトは、クレジットカードの詳細を使用して「認証」を発行し、認証コードを保存します。
• 顧客に注文確認メールが送信されます。
• 会場には注文通知がメールで送信されます。
• 会場が注文を受け入れる場合は、「決済」トランザクションを実行します
• ご注文内容を会場までご確認いただきます
• お客様に最終注文確認メールが送信されます
• 毎週/毎月/何でも未払い額を示すレポートを各会場に発行し、小切手などを送ってください。

Answer 2

もう 1 つのアプローチは、クレジット カード情報の保管を完全にあなたの手から取り除き、必要に応じて顧客に簡単に請求できるようにしながら、そうする手段と専門知識を持っている誰かに負担を負わせることです。Authorize.Net は、顧客の支払いプロファイルを作成できるCustomer Information Manager APIを提供しています。彼らはクレジットカード情報の保管を処理し、そのための支払いIDを提供します. その後、実際の支払いの詳細にアクセスしなくても、必要に応じてその支払い ID に対して請求できます。