जैसा ऊपर बताया गया है, डेटाबेस में क्रेडिट कार्ड की जानकारी संग्रहीत न करें। यह मुसीबत के लिए एक नुस्खा है। ऐसा करने से आपको हैकर्स के लिए एक बहुत ही आकर्षक लक्ष्य मिल जाएगा और, यदि वे उन्हें पुनर्प्राप्त करने में सफल होते हैं, तो अपना व्यवसाय समाप्त करें और संभावित रूप से अपने जीवन को बर्बाद कर दें और जिनके क्रेडिट कार्ड नंबर चोरी हो जाएं।
कहा करने के बाद कि यहाँ तीन बातों पर विचार करने के लिए कर रहे हैं:
1) आपका सबसे अच्छा शर्त एक भुगतान प्रोसेसर/भुगतान गेटवे कि आवर्ती बिलिंग प्रदान करता है का उपयोग करें। इसका एक उदाहरण Authorize.Net's Automated Recurring Billing सेवा है। एक बार जब आप सब्सक्रिप्शन सेट अप कर लेंगे तो वे स्वचालित रूप से आपके लिए हर महीने उपयोगकर्ता को बिल देंगे और आपको लेनदेन के नतीजे बताएंगे। यह आपको काम का एक टन बचाता है और क्रेडिट कार्ड की जानकारी संग्रहीत करने की देयता से आपको राहत देता है।
2) यदि आप स्टोर स्टोर क्रेडिट कार्ड नंबर स्टोर करते हैं तो आपको PCI guidelines का पालन करना होगा। ये दिशानिर्देश भुगतान कार्ड उद्योग द्वारा निर्धारित किए जाते हैं और परिभाषित करते हैं कि आप क्या कर सकते हैं और नहीं कर सकते हैं। यह भी परिभाषित करता है कि क्रेडिट कार्ड की जानकारी कैसे संग्रहीत की जानी चाहिए। आपको क्रेडिट कार्ड नंबर एन्क्रिप्ट करना होगा और आपको संबंधित जानकारी एन्क्रिप्ट करना होगा (समाप्ति तिथि, आदि)। आपको यह सुनिश्चित करने के लिए भी आवश्यक होगा कि आपका वेब सर्वर और नेटवर्क सुरक्षित हैं। पीसीआई अनुपालन को पूरा करने में विफल होने के परिणामस्वरूप आपका मर्चेंट खाता खो जाएगा और एक सच्चे व्यापारी खाते को हमेशा के लिए प्रतिबंधित कर दिया जाएगा। इससे आपको तीसरे पक्ष के प्रोसेसर का उपयोग करने के लिए सीमित कर दिया जाएगा जो कम लचीला हैं। ध्यान रखें कि पीसीआई दिशानिर्देश एक अच्छी शुरुआत है लेकिन ऑनलाइन सुरक्षा की बात आने पर शायद ही कभी "कैसे करें"। आपका लक्ष्य सिफारिश से अधिक होना होगा (बहुत से)।
3) राज्य कानून पीसीआई अनुपालन का अधिग्रहण करते हैं। यदि आपको उल्लंघन का सामना करना पड़ता है और क्रेडिट कार्ड नंबर चोरी हो जाते हैं तो आप को आपराधिक अभियोजन का खतरा होता है। कानून राज्य से राज्य में भिन्न होते हैं और लगातार प्रवाह में रहते हैं क्योंकि सांसद केवल यह महसूस करना शुरू कर रहे हैं कि यह कितना गंभीर है।
जहां तक एन्क्रिप्शन जाता है, सुनिश्चित करें कि आप पढ़ते हैं कि किस एन्क्रिप्शन एल्गोरिदम सुरक्षित हैं और अभी तक टूटा नहीं गया है। Blowfish एक अच्छी शुरुआत है और यदि आप PHP का उपयोग करते हैं तो mcrypt library अनुशंसित है (example)।
स्रोत
2010-07-25 22:12:29
उस स्थान पर लागू होने वाले कानूनों के आधार पर जहां आप अपना व्यवसाय संचालित करते हैं, यह भी * अवैध * हो सकता है कि इस तरह से क्रेडिट कार्ड नंबरों को स्टोर किया जाए। सावधान रहें, अपने बैंक और/या कानूनी प्रतिनिधित्व से बात करें। –
क्या यह कानूनी है? ज्यादातर मामलों में हम ऑनलाइन लेनदेन के लिए पेपैल और सीसीवेन्यू का उपयोग करते हैं। यदि आपने क्रेडिट कार्ड की जानकारी संग्रहीत की है तो आपको उन पर अधिक सुरक्षा की आवश्यकता है। –
मत करो। (एक प्रोग्रामर के रूप में और एक खरीदार के रूप में मेरी राय।) –