最初のいくつかのステップ (検証、購入のレビュー) にセッションを使用し、最終的な送信でデータベースに情報を入力する必要がありますか?
クッキーが乗っ取られ、訴訟に発展する可能性はありますか? リスクが高すぎますか?
クレジットカード番号を保存する場合、データベースを特別な方法で保護する必要がありますか?
あらゆる推奨事項や個人的な経験は大歓迎です。
2614 次
1 に答える
12
クレジット カードの問題には、クレジット カード データの保存に関する厳格な要件 (Google の「PCI コンプライアンス」) があります。
コンプライアンス関連のアウトソーシングを可能にする支払いゲートウェイが少なくとも 1 つあります: http://www.braintreepaymentsolutions.com/
前回見たとき、最初のトランザクションを実行して、トークンを取り戻すことができました。そのトークンは、カードに対する将来の請求に使用できますが、あなただけが使用できます。支払いゲートウェイ担当者は、実際のクレジット カード データを保存します。
私の知る限り (そして私は大量のカード処理を行っていません)、同じカードに対して恣意的な請求を行う必要がある場合、これがおそらく最良の解決策です。
定期的な請求 (一定の間隔で設定された金額) だけが必要な場合は、ほとんどの支払いゲートウェイ (authorize.net が思い浮かびます) でこれを構成できます。
結局のところ、特に大きな予算を扱っていない場合は、カード # ストレージをアウトソーシングする方がよいでしょう。それを自分で行うことは、責任が大きすぎます。
(編集:セッションでの保存に関しては、おそらくそれを回避できますが、おそらく回避する必要があります。CC情報が送信されたときに、最初の認証/キャプチャをインプロセスにするだけです。)
于 2009-09-13T02:55:02.067 に答える