私は、商人のグループ(5〜10)がオンラインでクレジットカードの注文を受け入れることができるレールサイトを開発しています。Activemerchantgemを使用して処理を処理する予定です。
この場合、各マーチャントは支払いを処理するための独自のマーチャントアカウントを持ちます。そのような銀行情報を保存することは、私が好きなことではありません。これは、注文をキューに入れ、マーチャントがサイトにログインし、資格情報を入力して注文を処理できるようにすることで解決できます。
しかし、そのルートに行くと、マーチャントがログインして注文を処理する機会が得られるまで、顧客のクレジットカード情報を一時的に保存する必要があるように思われます。これは私にとって大きな悪です。
誰かがこの状況に対処しましたか?もしそうなら、利用可能なオプションは何ですか、そして私はどのような落とし穴に注意する必要がありますか?私の考えでは、セキュリティ顧客のクレジットカード情報が最優先事項であり、マーチャントアカウント情報が2番目に近いです。
ActiveMerchantを使用してゲートウェイオブジェクトを作成するときは、マーチャントの情報を指定します。ですから、あなたのswが複数の商人に代わって取引を行うことは問題ないと思います。それらの情報をデータベースに保存し、必要に応じて使用してください。販売者の情報を暗号化することをお勧めします。
gemattr_encryptedを参照してください
販売者の情報を保存したくない理由がわかりません。多分あなたはこれについてもっと言うべきです。
マーチャントがAuthorize.Netを使用している場合は、各マーチャントのAuthorize.netログインとパスワードが必要です。
Authorize.netや競合他社の1つなど、単一の支払いゲートウェイですべてのマーチャントを標準化することをお勧めします。1つのゲートウェイを処理するのは十分に困難ですが、複数のゲートウェイを処理するのはなぜですか。また、authorize.netの再販業者になり、販売者のプロセスを簡単にすることができます。
そうです、マーチャントがログインしてマーチャント情報を提供するまで、クレジットカードの取引を遅らせたくはありません。
マーチャントがログインする頻度によっては、タイムリーな請求とバッチ処理に関するマーチャントのカード契約に違反することになります。
エンドカスタマーに迅速なフィードバックを提供する方法はありません。彼らの請求は成功したかどうか?
完全なクレジットカード番号とその他の情報を保存する必要があります。これには、高レベルのpciコンプライアンスが必要です。それだけの価値はありません。また、CVV番号を保存することは禁止されています。したがって、エンドカスタマーからの他の情報によっては、料金の資格が低くなります(マーチャントへの取引コストが高くなります)。
私の推奨は、商人の情報を保存することです。-それを暗号化し、商人(または他の誰か)に見られないようにします。マーチャントに情報を置き換えさせるだけで、編集するために現在の情報を表示させないでください。これにより、間違った人が販売者の情報を見るというセキュリティリスクが軽減されます。