問題タブ [credit-card]

私が経営するビジネスのタイプでは、顧客は支払う前に結果を得ることができます。彼らがサインアップするとき、私は彼らのクレジット カード情報を取得し、あとがきで 1 週間から 1 か月の間、私のサービスに対して料金を請求します。ほとんどの場合、これはスムーズに進みますが、時折、バーチャル クレジット カードを使ってシステムを操作し、デビット カードを捨ててしまう人もいます (ウォールマートで購入する場合のように)。

私はいくつかの調査を行い、http://en.wikipedia.org/wiki/List_of_Bank_Identification_Numbersを見つけましたが、完全なリストではありません。カードがどこから来たのかを特定する方法はありますか？具体的には、仮想カードと使い捨てカードです。

または、誰かがこの問題を経験したことがあり、この問題に対処するためのアイデアを教えてくれるかもしれませんか?

テストの目的で、ドメインがその証明書に有効なSSLドメインと一致しない開発サイトにSSL証明書を設定しました。

証明書ドメインが無効であっても、Authorize.netでクレジットカードを検証することは可能ですか？

私は定期的に顧客にお金を支払うウェブアプリを書いています...顧客の銀行口座にお金を送るための何らかの支払いゲートウェイはありますか、それとも私の銀行にそれについて話す必要がありますか（または月に一度小切手を書くだけです）？突っついたが、私が見つけたのはお金を受け入れるためのゲートウェイだけだった...

同じカードへの増分（不定期に繰り返される）請求を許可する支払いゲートウェイを誰かが推奨できますか?

私は PayPal を見てきました - 彼らは定期的な支払いシステムを提供していますが、スケジュールに従って支払いを請求することができます (一定の間隔で同じ金額) ので、私にはうまくいきません。

私が求めているのは、これらの制限のない支払いソリューションです。クレジット カード情報を再度要求することなく、顧客に繰り返し請求することができます。

言い換えれば、クレジットカード情報を一度入力すると、サイトのデータベースに安全に保存できるトークン/キーが返されるという点で、支払いゲートウェイはおそらくPayPalのように機能するはずです。関連付けられたカードからトークン/キーが最初に作成されたアカウントに送金するために使用されます。

(たとえば) PayPal が提供する直接支払いオプションも、(A) クレジット カード データをデータベースに保存する (ILLEGAL) か、(B) 消費者にクレジット カードを要求する必要があるため、私には機能しないことに注意してください。番号、CVR、有効期限、毎回 (IMPRACTICAL)。

私の個人的な意見では、PayPal チェックアウトや Google チェックアウトを使用することは素晴らしいオプションです。これらは人々が信頼するブランドであり、ログインして購入を確認するだけでよいため、チェックアウト プロセスは簡単です。

しかし、私のクライアントはプロフェッショナルに見えることを心配しています - サードパーティのチェックアウトを使用するとプロフェッショナルに見えなくなることに個人的には同意しませんが、クライアントは、ユーザーが支払うためにサイトを離れなければならないという事実についても心配しています.

推奨事項はありますか？

ああ、あなたが推奨する支払い処理業者も妥当な料金表を持っていれば、もちろんそれは大きなプラスになるでしょう!

私のウェブサイトでメンバーが使用するサービスに基づいて、メンバーに変動する金額を自動的に請求したいと考えています。彼らは未払いの残高を蓄積し、毎週その金額が請求されます。クレジットカード情報をデータベースに保存せずにこれを行う方法はありますか?

(私の最後の質問に似ていますが、CC 情報を安全に保存しなければならないという頭痛の種や責任の問題を経験したくないことに気付きました)

私のサイトには、基本的にクレジットカードのように機能するクレジットシステムがあります。各ユーザーには無制限のクレジット制限がありますが、各週の終わりに、彼らはそれを完済しなければなりません。たとえば、ユーザーが3月1日から7日の間に複数の購入を行い、3月7日の終わりに、その週のすべての購入と14日までに支払われる合計をリストした請求書が電子メールで送信される場合があります。彼らがそれを完済しない場合、彼らのアカウントは彼らが完済するまで単に非アクティブ化されます。私はこれを実装する方法に頭を悩ませようとしています。

私は彼らのすべての購入のリストを持っています、それは問題ではありません、しかし私はそれをどうするかを理解しようとしているだけです。7日目の終わりに、基本的にIDと期日を持つ請求書を生成するために、cronジョブを設定できます。次に、すべての購入を請求書にリンクするために、別の多対多のテーブルが必要になります。 。次に、ユーザーがアカウントにお金を追加すると、現在の未払いの請求書に適用されると思いますか？また、新しい請求書が発行されるまでに請求書が返済されない場合、未処理の請求書が2つあるので、どちらに適用するかをどのように知ることができますか？または、cronjobで以前の未払いの請求書をチェックしてキャンセルし、新しいアイテムを「残高転送（+利息）」として新しい請求書に追加しますか？？請求書に対してどのようにお金を適用しますか？各支払いは請求書にリンクする必要がありますか、それとも単にそれを彼らのアカウントクレジットに預けて、何が支払われ、何が支払われていないかをどうにかして理解することができますか？請求書が作成される前に前払いした場合はどうなりますか？生成時、または期日が到来した週末に、請求書からクレジットから差し引きますか？これを行うには非常に多くの方法があります...

誰かが彼らが取るであろうアプローチを説明できますか？

誰かが興味を持っているなら、私の請求書モデルは現在次のようになっています（Djangoで）。InvoiceItemsはリバースIDによって実際の「製品」にリンクされています（FKは製品上にあり、異なるアイテムタイプ（異なるテーブル）を許可するための請求書アイテムではありません）が、私はそれを切り替えるつもりだと思います。

延滞しているすべてのアイテムに利息を追加するために、毎晩深夜に実行するようにcrontabを設定しています。請求書は、毎週金曜日の朝に郵送されます。

CC の詳細を格納するために使用しているモデルは次のとおりです。これはどれほど安全に見えますか?

すべての情報は公開鍵暗号化を使用して暗号化され、鍵ペアはユーザーに依存します (サーバー上で生成され、秘密鍵はデータベース上でハッシュされているユーザーのパスワードを使用して対称暗号化されます) したがって、基本的に最初の実行時に、ユーザーは自分のSSL 接続を介したパスワードであり、パスワードはソルトを追加して使用され、MD5 ハッシュを生成します。また、パスワードは秘密鍵の暗号化にも使用され、秘密鍵はサーバーに保存されます。ユーザーが支払いをしたいとき、彼は自分のパスワードを送ります。パスワードは秘密鍵を復号化し、秘密鍵は CC の詳細を復号化し、CC の詳細が請求されます。

クレジット カード情報を安全かつ合法的に保管することは非常に困難であり、試みるべきではありません。クレジットカードデータを保存するつもりはありませんが、次のことを理解したいと思っています:

私のクレジット カード情報は、世界のどこかのサーバーに保存されています。このデータは (うまくいけば) マーチャントのサーバーには保存されませんが、マーチャントが送信したデータによって識別されるアカウントを確認して課金するために、ある時点で保存する必要があります。

私の質問は次のとおりです。クレジット カード データの保存を任された場合、ディスク上のデータを保護するためにどの暗号化戦略を使用しますか? 送信されたクレジットカード情報は、多かれ少なかれリアルタイムでチェックされていることがわかります。データを保護するために使用される暗号化キーが手動で入力されているとは思えないため、復号化はオンザフライで行われます。これは、キー自体がディスク上に保存されていることを意味します。このような自動化されたシステムでデータとキーをどのように保護しますか?

ウェブアプリはPCIに準拠する必要があります。つまり、クレジットカード番号を保存してはなりません。このアプリはメインフレームシステムのフロントエンドであり、CC番号を内部で処理します。また、今わかったように、応答画面の1つに完全なCC番号を吐き出すことがあります。デフォルトでは、これらの応答のコンテンツ全体がデバッグレベルでログに記録され、これらから解析されたコンテンツもさまざまな場所にログに記録できます。そのため、このようなデータ漏洩の原因を突き止めることはできません。CC番号がログファイルでマスクされていることを確認する必要があります。

正規表現の部分は問題ではありません。他のいくつかの場所ですでに使用している正規表現を再利用します。ただし、Log4Jを使用してログメッセージの一部を変更する方法については、適切な情報源が見つかりません。フィルタははるかに制限されているようで、特定のイベントをログに記録するかどうかを決定することしかできませんが、メッセージの内容を変更することはできません。また、Log4J用のESAPIセキュリティラッパーAPIを見つけました。これは、一見したところ、私がやりたいことを実行することを約束します。ただし、明らかに、コード内のすべてのロガーをESAPIロガークラスに置き換える必要があります。これはお尻の痛みです。私はより透明な解決策を好みます。

Log4J出力からクレジットカード番号をマスクする方法はありますか？

更新： @pgrasの元のアイデアに基づいて、ここに実用的な解決策があります：

ノート：

• CIDがこのロガーによってマスクされた場合、バックエンドサーバーによってマスクされた場合、または他の人によってマスクされた場合を区別したいので、+ではなくでマスクします。*
• 誤検知の心配がないので、単純な正規表現を使用します

コードは単体テストされているので、正しく機能するとかなり確信しています。もちろん、それを改善する可能性を見つけたら、私に知らせてください:-)

私は e コマースのウェブサイトを持っており、現在、ビザ、マスター カード、その他すべての主要なカードからの支払いを受け付けています。しかし、私が抱えている問題の 1 つは、地元のデビット カードを使用して顧客からの支払いを受け入れることです。中国の誰かが大規模なクレジットを持っておらず、彼が地元のデビットカードを使用したいと考えているとします。合法である限り、彼からの支払いを受け入れることができるようにしたいと考えています。どうすればいいですか？ありがとう。