Могу ли я сохранить секретный код кредитной карты в базе данных?
Мне нужно сохранить номера кредитных карт и секретные коды пользователей в базе данных в виде простого текста (очевидно, консенсус) для автоматической работы с сервера.
Есть ли какие-то проблемы?
Что мне нужно знать?
Ответы
Ответ 1
Большинство соглашений о обработке кредитных карт, которые я видел, не позволяют вам хранить код с обратной стороны карты.
Существуют и другие последствия для безопасности при хранении номеров кредитных карт с открытым текстом, но сохранение кода обычно запрещено вашим соглашением. Вам нужно будет прочитать их, чтобы убедиться, что вы можете это сделать.
Что касается хранения номера кредитной карты, это также, как правило, очень плохая идея. Если ваша база данных скомпрометирована, вы будете нести ответственность, и это может стоить вам больших денег.
Если у вас нет веских оснований для хранения номера кредитной карты и у вас очень хорошая команда, работающая над безопасностью, я бы не рекомендовал хранить данные кредитной карты.
Ответ 2
PCI-DSS (стандарт безопасности данных для платежных карт) абсолютно запрещает сохранение данных на жестком диске на жестком диске. Кроме того, трехзначный код безопасности карты (4 цифры на Amex) не может быть сохранен после авторизации, и в идеале вы должны хранить его только в памяти до завершения авторизации.
состояния PCI вы можете хранить не более первых шести и четырех последних цифр в обычном тексте. Требования к печатным квитанциям различны, и вы можете печатать только последние четыре цифры максимум.
PCI не становится намного проще, если вы хотите попробовать и зашифровать детали, прежде чем их перенести. Вам необходимо рассмотреть управление ключами, поворот ключа, разделение ключей. Кроме того, вам потребуется пройти ежегодные аудит на месте по вашей внутренней безопасности сети и квартальные аудиты вашей сети общего пользования. Чистая стоимость будет легко работать до $тысяч.
В заключение. Даже не думайте об этом!
Ответ 3
Короткий ответ, нет, плохая идея. У вас должно быть много соображений, что это просто не очень хорошая идея. Не берите в голову, что большинство соглашений не позволят вам в любом случае.
Authorize.net(только один пример) будет хранить информацию о кредитной карте, чтобы вы могли делать бланки. Это простая система, которая работает очень хорошо и освобождает вас от любых проблем, связанных с хранением.
Ответ 4
Код CVV используется для проверки того, что держатель карты имел карту во время первоначальной транзакции. После того, как вы подтвердите это, вам больше не понадобится, поэтому не храните его.
Все соглашения о торговых счетах, о которых я знаю, специально указывают, что вы НЕ должны хранить CVV. Это по соображениям безопасности.
Использование кода CVV для каждой автоматизированной транзакции будет напоминать, что ваша автоматическая система имеет карту, находящуюся в ее распоряжении во время транзакции, что, я думаю, не так.
Вам это не нужно, как только вы проверили его в первый раз. Определенно не храните его.
Вам запрещено хранить номера кредитных карт в виде обычного текста.
Ответ 5
Чтобы @Jeff вы должны слушать. Если вы собираетесь обрабатывать кредитные карты, вы должны (я думаю, должен, но IANAL) соблюдать "Стандарт безопасности данных в индустрии платежных карт" .
