Jak wspomniano powyżej, nie przechowuj danych karty kredytowej w bazie danych. To przepis na kłopoty. Dzięki temu staniesz się bardzo atrakcyjnym celem dla hakerów, a jeśli uda im się ich odzyskać, zakończysz działalność i potencjalnie zrujnujesz życie, a także życie tych, których numery kart kredytowych zostały skradzione.
Powiedziawszy to, należy wziąć pod uwagę trzy kwestie:
1) Najlepszym rozwiązaniem jest skorzystanie z procesora płatności/bramki płatniczej, która oferuje rozliczanie cykliczne. Przykładem tego jest Automatyczne rozliczenia cykliczne Authorize.Net usługa. Po skonfigurowaniu subskrypcji będą automatycznie obciążać użytkownika co miesiąc automatycznie i poinformują Cię o wynikach transakcji. Oszczędza to mnóstwo pracy i zwalnia z odpowiedzialności za przechowywanie informacji o karcie kredytowej.
2) Jeśli przechowujesz numery kart kredytowych sklepu, musisz przestrzegać wytycznych PCI . Wytyczne te są ustalane przez branżę kart płatniczych i określają, co możesz, a czego nie możesz zrobić. Określa również sposób przechowywania informacji o karcie kredytowej. Będziesz musiał zaszyfrować numery kart kredytowych i powinieneś, ale nie musisz, zaszyfrować powiązane informacje (data ważności itp.). Będziesz także musiał upewnić się, że serwer WWW i sieć są bezpieczne. Niespełnienie wymagań PCI spowoduje utratę konta handlowca i zablokowanie posiadania prawdziwego konta handlowca na zawsze. To ograniczyłoby Cię do korzystania z procesorów innych firm, które są mniej elastyczne. Należy pamiętać, że wytyczne PCI to dobry początek, ale nie jest to "jak" jeśli chodzi o bezpieczeństwo online. Twoim celem byłoby przekroczenie rekomendacji (o wiele).
3) Przepisy stanowe i krajowe zastępują zgodność z PCI. Jeśli doznasz naruszenia i zostaną skradzione numery kart kredytowych, ryzykujesz wszczęciem postępowania karnego. Przepisy różnią się w zależności od stanu i podlegają ciągłym zmianom, ponieważ prawodawcy dopiero zaczynają zdawać sobie sprawę, jak poważna jest to sprawa.
Jeśli chodzi o szyfrowanie, upewnij się, że przeczytałeś, które algorytmy szyfrowania są bezpieczne i nie zostały jeszcze złamane. Blowfish to dobry początek, a jeśli używasz PHP, biblioteka mcrypt zalecane (przykład ).
