결제 처리기-웹 사이트에서 신용 카드를 수락하려면 무엇을 알아야합니까? [닫은]

이 질문 은 다양한 지불 처리기 및 비용에 대해 설명하지만 신용 카드 지불을 수락하려면 어떻게해야하는지에 대한 답을 찾고 있습니까?

고객 을 위해 신용 카드 번호 를 저장 해야한다고 가정 하면 신용 카드 처리기를 사용하여 무거운 물건을 들어 올리는 확실한 솔루션을 사용할 수 없습니다.

신용 카드 정보를 저장하기위한 표준 인 PCI 데이터 보안 에는 많은 일반 요구 사항이 있지만이를 어떻게 구현 합니까?

그리고 자체 모범 사례를 보유한 Visa 와 같은 공급 업체 는 어떻습니까?

키 포브가 기계에 접근 할 수 있어야합니까? 건물의 해커로부터 물리적으로 보호하는 것은 어떻습니까? 또는 누군가 SQL 서버 데이터 파일이있는 백업 파일을 손에 넣은 경우 어떻게해야합니까?

백업은 어떻습니까? 그 데이터의 다른 물리적 사본이 있습니까?

팁 : 판매자 계정을 확보 한 경우 계층화 된 가격 대신 "교환 플러스"요금을 청구하도록 협상해야합니다. 계층 형 요금제를 사용하면 사용되는 Visa / MC 유형에 따라 다른 요금이 부과됩니다. 그들은 큰 보상이 첨부 된 카드에 대해 더 많은 비용을 청구합니다. 교환 및 청구는 비자 / MC가 청구하는 요금과 프로세서 요금 만 프로세서에 지불한다는 의미입니다. (Amex 및 Discover는 자체 요금을 판매자에게 직접 청구하므로 해당 카드에는 적용되지 않습니다. Amex 요금이 3 % 범위이고 Discover가 1 %로 낮을 수 있습니다. Visa / MC는 2 % 범위). 이 서비스는 귀하를 위해 협상을하도록되어 있습니다 (사용하지 않았으며 광고가 아니며 웹 사이트와 관련이 없습니다.

이 블로그 게시물은 신용 카드 취급에 대한 완전한 설명을 제공합니다 (특히 영국의 경우).

아마도 나는 그 질문을 틀렸다고 말했지만 다음과 같은 팁을 찾고 있습니다.

1. 물리적 상자에 추가 암호 계층을 추가 하려면 SecurID 또는 eToken 을 사용하십시오 .
2. 상자가 물리적 잠금 또는 키 코드 조합이있는 방에 있는지 확인하십시오.

나는이 과정을 오래 전에 내가 일했던 회사와 함께 겪었고 곧 내 자신의 사업으로 다시 시도 할 계획입니다. 네트워크 기술 지식이 있다면 그렇게 나쁘지 않습니다. 그렇지 않으면 Paypal 또는 다른 유형의 서비스를 사용하는 것이 좋습니다.

이 과정은 판매자 계정 설정을 시작하고 은행 계좌에 연결되어 시작 됩니다. 많은 주요 은행이 판매자 서비스를 제공하기 때문에 은행에 문의 할 수 있습니다. 이미 고객의 고객이기 때문에 거래를 할 수 있지만 그렇지 않은 경우 쇼핑을 할 수 있습니다. Discover 또는 American Express를 수락 할 계획 인 경우, 카드에 대한 판매자 서비스를 제공하기 때문에 별도의 비용이 들지 않습니다. 다른 특별한 경우도 있습니다. 이것은 신청 절차입니다. 준비하십시오.

다음으로 신용 카드 정보가 공용 네트워크를 통해 전송 될 때 통신 보안을 위해 사용할 수 있는 SSL 인증서 를 구매하려고합니다 . 벤더가 많지만 제 경험에 비추어 볼 때 브랜드 이름 인 것을 골라야합니다. 고객이 더 잘 알수록 고객이 더 잘 알게 될 것입니다.

다음 으로 귀하의 사이트에서 사용할 지불 게이트웨이 를 찾으 십시오. 비록 당신이 얼마나 큰가에 따라 선택 사항이 될 수 있지만 대부분의 시간은 그렇지 않습니다. 하나가 필요합니다. 지불 게이트웨이 공급 업체는 통신 할 인터넷 게이트웨이 API와 통신 할 수있는 방법을 제공합니다. 대부분의 공급 업체는 API와 HTTP 또는 TCP / IP 통신을 제공합니다. 그들은 당신을 대신하여 신용 카드 정보를 처리합니다. 두 공급 업체는 Authorize.Net 및 PayFlow Pro 입니다. 아래에서 제공하는 링크에는 다른 공급 업체에 대한 추가 정보가 있습니다.

이제 뭐? 우선 트랜잭션을 전송하기 위해 애플리케이션이 준수해야하는 사항에 대한 지침이 있습니다. 모든 것을 설정하는 과정에서 누군가가 사이트 나 응용 프로그램을보고 SSL 사용과 같은 지침을 준수하고 사용자에게 제공하는 정보에 대한 사용 약관 및 정책 문서가 있는지 확인합니다. 에 대한. 다른 사이트에서 이것을 훔치지 마십시오. 필요한 경우 변호사를 고용하십시오. 이러한 것들의 대부분은 Michael이 그의 질문에서 제공 한 PCI 데이터 보안 링크에 속합니다.

신용 카드 번호를 저장할 계획이라면 정보를 보호하기 위해 내부에 보안 조치를 마련하는 것이 좋습니다. 정보가 저장된 서버는 액세스 권한이 필요한 구성원 만 액세스 할 수 있어야합니다. 다른 좋은 보안과 마찬가지로 여러 계층으로 작업을 수행합니다. 더 많은 레이어를 배치할수록 좋습니다. 원하는 경우 SecureID 또는 eToken 과 같은 주요 Fob 유형 보안을 사용할 수 있습니다서버가있는 방을 보호하기 위해. 열쇠 고리 경로를 감당할 수 없으면 두 가지 방법을 사용하십시오. 회의실에 액세스 할 수있는 사람이 키를 로그 아웃하도록 허용합니다. 키는 이미 가지고있는 키와 함께 제공됩니다. 방에 액세스하려면 두 키가 모두 필요합니다. 다음으로 정책으로 서버와의 통신을 보호합니다. 내 정책은 네트워크를 통해 통신하는 유일한 응용 프로그램이며 응용 프로그램이며 정보가 암호화된다는 것입니다. 서버는 다른 형태로 액세스 할 수 없어야합니다. 백업의 경우 truecrypt를 사용합니다백업이 저장 될 볼륨을 암호화합니다. 데이터가 제거되거나 다른 곳에서 저장 될 때마다 다시 truecrypt를 사용하여 데이터가있는 볼륨을 암호화합니다. 기본적으로 데이터가 어디에 있든 암호화해야합니다. 데이터를 얻기위한 모든 프로세스에 감사 내역이 있는지 확인하십시오. 서버 실에 액세스하기 위해 로그를 사용하고 가능하면 카메라를 사용하는 등의 방법도 있습니다. 또 다른 방법은 데이터베이스에서 신용 카드 정보를 암호화하는 것입니다. 이렇게하면 정보를 볼 수있는 사람을 강제 할 수있는 응용 프로그램에서만 데이터를 볼 수 있습니다.

방화벽에 pfsense 를 사용 합니다. 컴팩트 플래시 카드에서 실행하고 두 개의 서버를 설정했습니다. 하나는 중복성을위한 장애 조치입니다.

Rick Strahl 의이 블로그 게시물 에서 전자 상거래를 이해하고 웹 응용 프로그램을 통해 신용 카드를받는 데 필요한 사항을 이해하는 데 큰 도움이되었습니다.

글쎄, 이것은 긴 대답으로 밝혀졌습니다. 이 팁이 도움이되기를 바랍니다.

다음과 같은 질문을 해보십시오. 왜 신용 카드 번호를 먼저 저장 하시겠습니까? 당신이하지 않을 가능성이 있습니다. 당신이 경우에 실제로, 이렇게 보관 한 도난 가지고 관리, 당신은 몇 가지 심각한 책임에보고 할 수있다.

거래가 오프라인으로 처리되었으므로 신용 카드 번호를 저장하는 앱을 작성했습니다. 좋은 방법은 다음과 같습니다.

• SSL 인증서를 받으십시오!
• 사용자로부터 CC #을 얻기위한 양식을 작성하십시오.
• CC #의 일부 (전부는 아님)를 암호화하여 데이터베이스에 저장하십시오. (중간 8 자리를 제안합니다.) 강력한 암호화 방법과 비밀 키를 사용하십시오.
• 처리 할 사람의 ID로 귀하의 거래 (아마도 본인)를 처리하는 사람에게 CC #의 나머지 부분을 우송하십시오.
• 나중에 로그인하면 ID와 CC #의 메일 발송 부분을 입력하게됩니다. 시스템은 다른 부분을 해독하고 전체 번호를 얻기 위해 다시 결합하여 트랜잭션을 처리 할 수 ​​있습니다.
• 마지막으로 온라인 레코드를 삭제하십시오. 내 편집증 솔루션은 삭제 전에 가능성을 제거하기 위해 삭제하기 전에 임의의 데이터로 레코드를 덮어 쓰는 것이 었습니다.

이것은 많은 작업처럼 들리지만 완전한 CC #을 어디에도 기록하지 않으면 해커가 웹 서버에서 가치있는 것을 찾기가 매우 어려워집니다. 날 믿어, 그것은 마음의 평화의 가치가있다.

PCI 1.2 문서가 나왔습니다. 요구 사항과 함께 PCI 준수를 구현하는 방법에 대한 프로세스를 제공합니다. 전체 문서는 여기에서 찾을 수 있습니다.

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

간단히 말해 CC 정보 (일반적으로 DB 서버) 저장 전용 서버를위한 별도의 네트워크 세그먼트를 만듭니다. 가능한 한 데이터를 격리하고 데이터에 액세스하는 데 필요한 최소 액세스 권한 만 있는지 확인하십시오. 보관할 때 암호화하십시오. PAN을 보관하지 마십시오. 오래된 데이터를 제거하고 암호화 키를 회전하십시오.

하지 말아야 할 것 :

• 데이터베이스에서 일반 정보를 조회 할 수있는 동일한 계정이 CC 정보를 조회하지 않도록하십시오.
• CC 데이터베이스를 웹 서버와 동일한 물리적 서버에 유지하지 마십시오.
• CC 데이터베이스 네트워크 세그먼트에 외부 (인터넷) 트래픽을 허용하지 마십시오.

복용량 예시 :

• CC 정보를 쿼리하려면 별도의 데이터베이스 계정을 사용하십시오.
• 방화벽 / 액세스 목록을 통해 필요한 모든 트래픽을 CC 데이터베이스 서버로 허용하지 않음
• 제한된 권한의 사용자로 CC 서버에 대한 액세스를 제한하십시오.

생각하고 싶을 수도있는 비 기술적 인 의견을 추가하고 싶습니다

내 고객 중 일부는 중간 규모의 상점이있는 부부를 포함하여 전자 상거래 사이트를 운영합니다. 둘 다 확실히 지불 게이트웨이를 구현할 수는 있지만 선택하지는 않지만 cc 번호를 가져 와서 일시적으로 온라인으로 암호화하여 저장하고 수동으로 처리합니다.

사기의 발생률이 높기 때문에이 작업을 수행하며 수동 처리를 통해 주문을 작성하기 전에 추가 점검을 수행 할 수 있습니다. 나는 모든 거래의 20 % 이상을 거부한다고 들었습니다. 수동으로 처리하는 데 확실히 추가 시간이 걸리고 어떤 경우에는 거래를 처리하는 직원이 있지만 급여를 지불하는 비용은 분명히 온라인 게이트웨이를 통해 cc 번호를 전달한 경우 노출

이 두 고객 모두 재판매 가치가있는 실제 상품을 제공하고 있기 때문에 특히 노출되며 사기성 판매로 인해 실제 마일리지가 실제로 손실되지 않는 소프트웨어와 같은 품목의 경우 온라인 게이트웨이의 기술적 측면을 고려할 가치가 있습니다. 그러한 구현이 정말로 당신이 원하는 것이라면.

편집 : 그리고이 답변을 만든 후 나는주의를 기울이고 이것이 좋은 생각 일 때 시간이 지났다고 말하고 싶습니다.

왜? 비슷한 접근법을 취하는 다른 연락 방법을 알고 있기 때문입니다. 카드 세부 정보는 암호화되어 저장되었으며 SSL을 통해 웹 사이트에 액세스했으며 처리 후 즉시 번호가 삭제되었습니다. 생각하세요?

아니요-네트워크의 한 시스템이 키 로깅 트로이 목마에 감염되었습니다. 결과적으로 그들은 여러 점수 신용 카드 위조의 소스로 확인되었으며 결과적으로 큰 벌금에 부딪쳤다.

이로 인해 이제는 신용 카드를 직접 처리하도록 다른 사람에게 조언 하지 않습니다 . 지불 게이트웨이는 그 이후 훨씬 더 경쟁력 있고 비용 효과적이며 사기 조치가 개선되었습니다. 이제 위험은 더 이상 가치가 없습니다.

이 답변을 삭제할 수는 있지만 편집 내용을주의 깊게 남겨 두는 것이 가장 좋습니다.

SSL을 사용하여 브라우저에서 서버로 카드 번호를 보내는 것은 식당에서 계산원에게 카드를 건네 줄 때 엄지 손가락으로 신용 카드 번호를 가리는 것과 같습니다. 엄지 손가락 (SSL)은 식당의 다른 고객을 막습니다. (넷) 카드를 볼 수는 없지만 일단 카드가 계산원 (웹 서버)의 손에 들어간 후에는 카드가 더 이상 SSL 교환에 의해 보호되지 않으며 계산원은 해당 카드로 무엇이든 할 수 있습니다. 저장된 카드 번호에 대한 액세스는 웹 서버의 보안을 통해서만 중지 할 수 있습니다. 즉, 인터넷에서 대부분의 카드 도난은 전송 중에 수행되지 않으며, 서버 보안 불량 및 데이터베이스 도용을 통해 이루어집니다.

왜 PCI 규정을 준수해야합니까? 기껏해야 처리 비용의 일부를 삭감 할 수 있습니다. 이것은 개발 초기 단계와 최신 요구 사항을 준수하면서 시간이 지남에 따라 수행하고 싶은 일임을 확신 해야하는 경우 중 하나입니다.

우리의 경우 가입이 많은 게이트웨이를 사용하고 판매자 계정과 연결하는 것이 가장 합리적이었습니다. 구독이 많은 게이트웨이를 사용하면 모든 PCI 준수를 건너 뛰고 트랜잭션을 올바르게 처리하는 것 이상을 수행 할 수 없습니다.

우리는 게이트웨이로 TrustCommerce를 사용하며 서비스 / 가격에 만족합니다. 통합이 매우 쉬운 여러 언어 코드가 있습니다.

PCI에 필요한 추가 작업과 예산을 처리해야합니다. PCI에는 엄청난 외부 감사 비용과 내부 노력 / 지원이 필요할 수 있습니다. 또한 일방적으로 귀하에게 부과 될 수있는 벌금 / 형벌에 유의하십시오. 종종 '범죄'의 규모에 크게 비례하지 않습니다.

전체 과정에는 많은 것이 있습니다. 가장 쉬운 방법은 페이팔과 유사한 서비스를 사용하여 실제로 신용 카드 데이터를 처리하지 않도록하는 것입니다. 그 외에도 웹 사이트에서 신용 카드 서비스 제공을 승인 받기 위해해야 ​​할 일이 많이 있습니다. 프로세스를 설정하는 데 도움이되도록 은행 및 판매자 ID를 발행 한 사람들과 이야기해야합니다.

다른 사람들이이 분야에 가장 쉬운 방법을 언급했듯이 Paypal , Google Checkout 또는 Nochex를 사용하는 것 입니다. 그러나 상당한 양의 비즈니스를 원한다면 WorldPay , NetBanx (영국) 또는 Neteller (US) 와 같은 더 높은 수준의 사이트 통합 서비스로 "업그레이드"할 수 있습니다 . 이러한 서비스는 모두 설정하기가 쉽습니다. Netbanx는 Intershop 과 같은 기성품 쇼핑 카트 솔루션에 편리하게 통합됩니다.(내가 그들 중 일부를 썼기 때문에). 은행 시스템 (및 해당 APAX 시스템)과의 직접적인 통합을 고려하고 있지만 그 시점에서 어렵고 그 시점에서 신용 카드 회사에 신용 카드 번호를 안전하게 취급하고 있음을 증명해야합니다 (아마도 고려할 가치가 없습니다) 당신은 한달에 $ 100k의 가치를 가지고 있지 않습니다).

처음부터 끝까지 비용 / 이점을 유지하는 것은 초기 옵션이 설정하기가 훨씬 쉬우 며 (Quick / Cheaper) 각 거래에 대해 상당히 높은 처리 비용을 지불해야한다는 것입니다. 후자는 설치 비용이 훨씬 비싸지 만 장기적으로 지불하는 비용이 적습니다.

대부분의 비 전용 솔루션의 다른 장점은 암호화 된 신용 카드 번호를 안전하게 유지할 필요가 없다는 것입니다. 그게 다른 사람의 문제 :-)