web-dev-qa-db-ja.com

ユーザーのクレジットカード情報を自動保存する必要がありますか?

ユーザーのカード情報を尋ねずに自動的に保存するのは間違っていますか?

更新:

私は Stripe を使用しているので、カードデータがサーバーに届くことはありません。 Stripeだけを使用しても、サイトが完全にPCI準拠になるわけではありませんが、私が取り組んでいるサイトはPCI準拠です。

また、私はこれについて言及する必要がありましたが、私が取り組んでいるサイトはサブスクリプションを販売しています-それ以外は何もありません。これが事実であることを考えると、ユーザーは、cc情報を提供するときに保持することをユーザーが想定する必要があると思います(そうしないと、毎月請求することができませんでした)。

とはいえ、私が不思議に思っていたユースケースは、サイトからすでに1つのサブスクリプションを購入した後、別のサブスクリプションを購入するときに、そのユーザーのCC情報を自動的に入力する状況でした。

formspayment
10
Peter Berg

PCIに準拠していない限り、クライアントまたはサーバーのクレジットカード情報を保存しないでください。 PCIはPayment Card Industryの略です。あなたは彼らのウェブサイトを見ることができます ここ 。クレジットカードを取り扱う際に私たち全員が遵守している標準は Payment Card Industry Data Security Standard(PCI DSS) です。

クレジットカードのすべての処理と保管を処理するためにPCIに準拠しているサードパーティを使用する場合、PCIに準拠する必要があることを回避できます。私は Cyber​​Source を使用しましたが、結局それはかなりきちんとしたソリューションになりました:

ソースがクレジットカードフォームであるネットワーク上のページに設定されたiframeを作成しました。送信すると、ネットワークに投稿するのではなく、Cyber​​Sourceに投稿しました。 Cyber​​Sourceが送信を処理すると、ネットワーク内の特定のページに戻り、結果を処理してユーザーを更新しました。このようにすると、クレジットカードのデータがネットワークに入力されなかったため、PCIに準拠していました。

クライアント側の補足として、autocomplete="off"すべての機密フィールドの属性。

更新ごとに編集

これで、作業中のサイトを述べたのでis PCIに準拠しているため、質問は次のマルチパートの質問に変わります。

  1. ユーザーがサブスクリプションにサインアップする前にメッセージでユーザーに通知しますか?
  2. ユーザーに情報を保存するか自動入力するオプションを提供しますか?
  3. サブスクリプションが本質的に何を意味するかに基づいて、ユーザーに何かを伝えませんか?

私の経験では、#2は多くのユーザーが好むものです。私は、両親や友人がクレジットカードを使用して誰かを助け、その情報がその誰かによって再び使用される可能性がある場所に正確に保持したくない場合に遭遇しました。

現在、サブスクリプションでは、繰り返し発生する支払いが暗示され、それから、Webサイトまたはプロセッサーによってカード情報の保存が暗示されます。それはおそらく、あなたが彼らの情報で何をしようとしているのかをユーザーに通知するために少なくとも#1をすることが最善の方法だろう。

24
Code Maverick

askではないかもしれませんが、-informを使用することが重要です

そうしないと、保存されたデータが侵害された場合に法的問題が発生する可能性があります。まず、データが危険にさらされているという問題があります。次に、データが保存されていることをユーザーが適切に通知されなかったという問題があります。あなたはcouldをこれを契約条件ページに追加しますが、より目立つ場所(つまり、支払いページ)に置くと、それが明らかになります。

それは毎日起こっています。それが私なら、何も保存しません。全体として、(ユーザーにとっての)便利な要素とデータを保護するためにどれだけの労力が必要かを比較検討する必要があります。 PCIコンプライアンスは重要です。

4
Xavier J

はい、質問せずにユーザーのCC情報を保存するのは間違っています。簡単な質問を自問してみてください。サイトがあなたに言わずにCC情報を保持しているとしたらどう思いますか。

あなたがユーザーを利用していることを尋ねない場合、そしてユーザーがあなたが彼の後ろで何かをしていることを発見した場合、あなたは彼を失うかもしれません。

CC情報を何に使用するかという質問がありますか?

2
zaph

支払いプロバイダーを使用しています。クレジットカード情報は表示されず、金額と注文番号に関する情報が決済プロバイダーに渡され、顧客が有効な情報を入力すると取引番号が返されます。

この取引番号は、出荷時に支払いプロバイダーに渡され、お金が口座に送金されます。 (我が国では、商品が発送される前に送金することはできません。)

通常のトランザクションの場合、トランザクション番号は、顧客が承認した金額までしか解放できません。在庫切れの場合は、少なめにリクエストできます。

サブスクリプションの場合は、支払いが必要なときに使用できるトークンを取得します。このトークンは私たちに固有のものであり、他の人が使用することはできないため、クレジットカード番号として安全に保管する必要はありません。また、サイトがサブスクリプションを作成し、キャンセルを拒否した場合、顧客はカードをキャンセルしなくても、支払いプロバイダーにトークンをキャンセルさせることができます。

支払いプロバイダーが同じように機能する場合は、クレジットカード番号を保存する必要はありません。

1
Lenne

購読サイトなので、情報を保存してもいいと思いますが、保存されているcc情報を使用するオプションをユーザーに提供する場合も、適切に処理する必要があります。 「すでにXYZへのサブスクリプションが定期的に支払われています-このサブスクリプションを同じカードに請求しますか?」

1
René Rasmussen