私はクレジットカードの保存の経験がなく、これの法的な目的について何も知りません。
私が働いている会社/開発している会社は、クレジットカードを保存して、レイアウェイのアカウントの自動支払いを処理したいと考えています。
ガイドラインを示しているサイトや、クレジットカード情報を内部に保存した経験がある人はいますか?カード情報を保存しているサーバーはインターネットへのアクセスが許可されておらず、すべての情報を暗号化する必要があると聞きました。
誰かがいくつかのフィードバックを提供できますか?または、企業向けにこれを処理するサービスを知っていますか?
PCIがユーザーの作業に影響を与える方法はたくさんあります。データセキュリティ規格(PCI-DSS)について指摘しておきます。特に、リモートからシステムにアクセスするユーザーには強力な認証が必要であり、保持できるデータの種類にはさまざまな制限があります。
PCIを理解せずにクレジットカードを保存することさえ考えないでください。
高レベルの販売では、認定された第三者による監査を受ける必要があり、監査は非常に厳格になる可能性があるため、そのことを念頭に置いて早期に文書化を開始します。
あなたはPCI(Payment Card Industry)コンプライアンスを参照しています: https://www.pcisecuritystandards.org/security_standards/getting_started.php
さらに、あなたのビジネスが運営している地域の法的要件。
スティーブとスティーブスが言ったように、クレジットカードを保存することはあなたのビジネスをPCI-DSSに分類することになります。適切なインフラストラクチャがすでに整っていない場合、これは非常に大きな作業になる可能性があります。ここで、頭の中で思い浮かぶことがいくつかあります。
これは、非常に長いリストの非常に短いバージョンであり、完全なバージョンが見つかります: https://www.pcisecuritystandards.org/documents/pa-dss_v2.pdf 。 PCIトレーニング もあります。これは、PCI要件をよりよく理解するのに役立ちます。 PCIコンプライアンスを専門とするコンサルタントがいます。推奨事項については、その地域の他の企業またはITセキュリティ監査会社に確認してください。幸運を祈ります。
DoReferenceTransaction APIを介して、参照トランザクションと組み合わせてホストされるPaypal Web Payments Proを使用することをお勧めします。
ウェブペイメントプロホスト型では、Paypalの支払いフォームをサイトのiframeに埋め込むことができます(「Paypalでの支払い」オプションは、リクエストに応じて無効にすることができます)。さらに、DoReferenceTransaction APIを使用すると、以前のトランザクションID(最大3か月前)を参照するだけで、任意のスケジュールでユーザーに再請求できます。
この優れた点は、PaypalトランザクションIDを除いて、個人を特定できるデータを1つ保存する必要がないことです。
https://cms.Paypal.com/us/cgi-bin/?cmd=_render-content&content_ID=developer/e_howto_api_nvp_r_DoReferenceTransaction を参照してください
と同様
https://www.x.com/developers/Paypal/products/website-payments-pro-hosted-solution
それでも(ある程度)PCIに準拠している必要がありますが、サイトに直接統合されている通常の販売アカウントの場合ほどではありません。
特に、これまでの経験がないので、誰かにそれを心配させるだけの方が賢明でしょう。
ここで独自のソリューションを導入しないことをお勧めします。この機能を実装するには、Authorize.Netなどが提供するAPIを使用します。
他のコメンターが指摘したように、クレジットカード番号を保存することは可能な限り避けるべきです。
Authorize.netを使用してクレジットカードのトランザクションを処理している場合は、 [〜#〜] arb [〜#〜] (自動定期請求)および [〜#〜] cimを調査する必要があります[〜#〜] (顧客情報管理、これらのオプションの提供により、顧客IDを介してシステムにリンクする顧客アカウントをセットアップできるため、機密の顧客データをリモートで保存し、将来のトランザクションをスケジュールすることができます。クレジットカード番号または請求先住所を保存します。
多大な労力と労力をかけずにPCIコンプライアンスを満たしながらクレジットカード情報を保存する最もコスト効率の良い方法は、AmazonのAWSサービスを使用することです。彼らは2010年にPCI要件を満たしました。
ここを見てください:
http://aws.Amazon.com/security/pci-dss-level-1-compliance-faqs/
これは、あなたのビジネスのクレジットカード情報を保存するために私が知っている最も簡単な方法です。