MySQL डेटाबेस में क्रेडिट कार्ड की जानकारी सहेज रहा है?

Question

मैं अपने ग्राहक उपयोगकर्ताओं को अपनी क्रेडिट कार्ड जानकारी दर्ज करने की अनुमति देना चाहता हूं ताकि मैं उन्हें हर महीने चार्ज कर सकूं।

मुझे आश्चर्य है कि इस जानकारी को कैसे सहेजना चाहिए?

इसे MySQL डेटाबेस ("उपयोगकर्ता" तालिका) में सहेजा जाना चाहिए या इस तरह की जानकारी बहुत संवेदनशील है और उसे किसी अन्य स्थान पर संग्रहीत करने की आवश्यकता है?

मुझे इसका कोई अनुभव नहीं है और अगर कोई मुझे सलाह दे कि यह कैसे पूरा किया जाए तो मुझे खुशी होगी।

धन्यवाद।

Answer 1

जैसा ऊपर बताया गया है, डेटाबेस में क्रेडिट कार्ड की जानकारी संग्रहीत न करें। यह मुसीबत के लिए एक नुस्खा है। ऐसा करने से आपको हैकर्स के लिए एक बहुत ही आकर्षक लक्ष्य मिल जाएगा और, यदि वे उन्हें पुनर्प्राप्त करने में सफल होते हैं, तो अपना व्यवसाय समाप्त करें और संभावित रूप से अपने जीवन को बर्बाद कर दें और जिनके क्रेडिट कार्ड नंबर चोरी हो जाएं।

कहा करने के बाद कि यहाँ तीन बातों पर विचार करने के लिए कर रहे हैं:

1) आपका सबसे अच्छा शर्त एक भुगतान प्रोसेसर/भुगतान गेटवे कि आवर्ती बिलिंग प्रदान करता है का उपयोग करें। इसका एक उदाहरण Authorize.Net's Automated Recurring Billing सेवा है। एक बार जब आप सब्सक्रिप्शन सेट अप कर लेंगे तो वे स्वचालित रूप से आपके लिए हर महीने उपयोगकर्ता को बिल देंगे और आपको लेनदेन के नतीजे बताएंगे। यह आपको काम का एक टन बचाता है और क्रेडिट कार्ड की जानकारी संग्रहीत करने की देयता से आपको राहत देता है।

2) यदि आप स्टोर स्टोर क्रेडिट कार्ड नंबर स्टोर करते हैं तो आपको PCI guidelines का पालन करना होगा। ये दिशानिर्देश भुगतान कार्ड उद्योग द्वारा निर्धारित किए जाते हैं और परिभाषित करते हैं कि आप क्या कर सकते हैं और नहीं कर सकते हैं। यह भी परिभाषित करता है कि क्रेडिट कार्ड की जानकारी कैसे संग्रहीत की जानी चाहिए। आपको क्रेडिट कार्ड नंबर एन्क्रिप्ट करना होगा और आपको संबंधित जानकारी एन्क्रिप्ट करना होगा (समाप्ति तिथि, आदि)। आपको यह सुनिश्चित करने के लिए भी आवश्यक होगा कि आपका वेब सर्वर और नेटवर्क सुरक्षित हैं। पीसीआई अनुपालन को पूरा करने में विफल होने के परिणामस्वरूप आपका मर्चेंट खाता खो जाएगा और एक सच्चे व्यापारी खाते को हमेशा के लिए प्रतिबंधित कर दिया जाएगा। इससे आपको तीसरे पक्ष के प्रोसेसर का उपयोग करने के लिए सीमित कर दिया जाएगा जो कम लचीला हैं। ध्यान रखें कि पीसीआई दिशानिर्देश एक अच्छी शुरुआत है लेकिन ऑनलाइन सुरक्षा की बात आने पर शायद ही कभी "कैसे करें"। आपका लक्ष्य सिफारिश से अधिक होना होगा (बहुत से)।

3) राज्य कानून पीसीआई अनुपालन का अधिग्रहण करते हैं। यदि आपको उल्लंघन का सामना करना पड़ता है और क्रेडिट कार्ड नंबर चोरी हो जाते हैं तो आप को आपराधिक अभियोजन का खतरा होता है। कानून राज्य से राज्य में भिन्न होते हैं और लगातार प्रवाह में रहते हैं क्योंकि सांसद केवल यह महसूस करना शुरू कर रहे हैं कि यह कितना गंभीर है।

जहां तक ​​एन्क्रिप्शन जाता है, सुनिश्चित करें कि आप पढ़ते हैं कि किस एन्क्रिप्शन एल्गोरिदम सुरक्षित हैं और अभी तक टूटा नहीं गया है। Blowfish एक अच्छी शुरुआत है और यदि आप PHP का उपयोग करते हैं तो mcrypt library अनुशंसित है (example)।

Answer 2

सबसे सुरक्षित तरीका है नहीं दुकान आपके सिस्टम पर क्रेडिट कार्ड की जानकारी है, लेकिन एक 3 ^वां पार्टी भुगतान प्रदाता यह तुम्हारे लिए क्या करते हैं।

Answer 3

यह आवश्यक नहीं है कि आप पेपैल, आदि की तरह एक 3 पार्टी भुगतान प्रदाता का उपयोग करें - लेकिन यदि आप भुगतान कार्ड की जानकारी स्टोर करने के लिए जा रहे हैं PCI compliant की जरूरत है। इस आलेख को BC Ferries, who face substantial fines for not keeping up to date with PCI compliance के बारे में समझने के लिए पढ़ें कि पीसीआई अनुपालन कितना गंभीर है।

मेरा वर्तमान नियोक्ता पीसीआई अनुपालन के माध्यम से जा रहा है - यह एक छोटी सी प्रक्रिया नहीं है, और लेखा परीक्षा के लिए कर्मचारियों की आवश्यकता है। प्रवर्तन देश और राज्य/प्रांत कानूनों पर निर्भर करता है - कनाडा आईआईआरसी के लिए आपको पीसीआई नियोजित समिति द्वारा प्रमाणित पीसीआई होने की आवश्यकता है, जबकि अमेरिका के कुछ राज्य पीसीआई अनुपालन लेखा परीक्षा कंपनियों को पीसीआई समिति के स्थान पर सेवा करने की अनुमति देते हैं।