8

ですから、クレジット カード情報の保存に関する投稿が数多くあることは知っています。私たちはモバイル アプリケーションを作成しており、ユーザーがカード情報を購入のたびに入力するのではなく、一度入力できるようにしたいと考えています。

Authorize.net CIMを調べたところ、これは理想的なソリューションのようです (クレジット カード番号を返すプロファイル ID またはトークンを保存するだけです)。 (必然的に)authorize.netによって処理されませんが、支払いを送信しているマーチャントアカウントによっても処理されます。つまり、ウォレットのようにクレジットカード情報を保存したいのです...必ずしもAuthorize.netで毎回処理する必要はありません。

CIM XML ドキュメント(p.94) を読むと、getCustomerPaymentProfileResponse がクレジット カードの戻りデータをマスクしているように見えます。

実装には他にもいくつかのオプションがありますが、私は、顧客が支払いアカウントを管理するための Web ベースの方法があることを本当に望んでいました. オンデマンドで呼び出して任意の加盟店のプロセッサに渡すことができるクレジット カード データを保存する方法を知っている人はいますか?

EDIT 4.28.2011 - 私はこれで壁にぶつかっています。クレジット カード情報をまったく保存せず、顧客に入力してから渡すようにしたらどうなるでしょうか。保存せず、HTTPS を渡し、転送中にカード データを暗号化しますか?

4

3 に答える 3

8

残念ながら、これを達成する簡単な方法はありません。

ご存知のように、支払いサービス プロバイダーはカードの詳細を安全に保管し、トークン ID を返しますが (その詳細を参照できるようにするため)、元のカードの詳細を返すことはできません。

これは、PSP が PCI-DSS に準拠しているためです。そのコンプライアンスの一部は、カードの詳細が渡される場所 (他のサードパーティなど)PCI-DSS に準拠していることを保証することです。カードの詳細がボールトからクライアントに返されることを許可する場合、クライアントも PCI-DSS に準拠していることを確認する必要があります (これは、支払いサービス プロバイダーを使用するクライアントのポイントをほとんど無効にします!) .

したがって、オプションは次のとおりです。
- カードの詳細を自分で安全に保存できるように、PCI-DSS 準拠に取り組みます。
- 相互運用するすべての支払いサービス プロバイダーにカードの詳細を保存し、それぞれから返されたトークンを保存します。

于 2011-04-28T10:20:26.507 に答える
3

ストライプはこのようなことをします。カードの詳細を保存する必要なく処理し、クレジット カードを表すトークンを返します。これにより、次のことが可能になります。

  • 1 回限りの充電を行う、または
  • 「顧客」として保存し、必要に応じて、または自動的に繰り返される方法で、将来請求します

Stripe を使用した請求に関する優れたRailsCastがあり、チェックする価値があります。非常に開発者に優しい。

于 2013-01-31T04:08:55.410 に答える
1

編集
Authorize.Net CIM は一種のトークン化サービスであることに気付きました。だから、あなたはおそらくこれのほとんどを知っています. ただし、投稿はここに残しておきます-他の誰かにとって役立つかもしれません。

これらの商人/ベンダーが API を変更する意思がある場合は、カードのトークン化を検討します。一部のプロセッサーが提供する機能で、カード番号なしで支払いを処理できます。これが機能する方法は、ユーザーがカード情報をプロセッサに渡す最初のトランザクションであり、プロセッサはそのユーザーとマーチャントのカード所有者データを一意に識別するトークンをマーチャントに返し、ユーザーのカードデータはプロセッサによって内部的に保存されます。 .

次に、これらのトークンを保存して、ベンダーの支払いアプリケーションに渡すことができます。ベンダーの支払いアプリケーションは、それらを使用してトランザクションを処理します。これらのトークンは特定のマーチャントに固有のものであると想定しているため、おそらく特定のユーザーのベンダー/マーチャントごとに 1 つのトークンを保存する必要があります。

ベンダー/マーチャントがトークンをプロキシしたり、サードパーティからトークンを取得したりできないというルールがあるかもしれません。その場合、ベンダーは、カード プロセッサで使用するために内部に保存するトークンにマップする新しいトークン/GUID を提供できます...

Google - クレジット カードのトークン化

PCI 基準

PCI-DSS は冗談ではありません。これらの商人/ベンダーは、技術的には、アプリケーションがカード番号を保存していることをプロセッサに開示する必要はありませんが、開示すると、混乱する可能性があります。次の 2 つのいずれかが発生する可能性があります。

  • ベンダーは、アプリケーションが API を使用できないように強制される可能性があります
  • アプリケーションは PCI 認定を受ける必要があります
于 2011-04-27T19:03:05.050 に答える