这个问题讨论了不同的付款处理者及其费用，但是我正在寻找答案，如果我想接受信用卡付款该怎么办？

假设我需要为客户存储信用卡号，以便依靠信用卡处理器完成繁重工作的明显解决方案不可用。

PCI数据安全性显然是存储信用卡信息的标准，它具有许多一般要求，但是如何实现这些要求？

那么，拥有自己最佳实践的供应商(如Visa)又如何呢？

我是否需要通过钥匙扣访问机器？物理上保护建筑物免受黑客攻击怎么办？甚至如果有人将备份文件与sql server数据文件放在一起，该怎么办？

备份呢？周围是否还有该数据的其他物理副本？

提示：如果我们有商家帐户，则应协商确定他们向我们收取"交换加"费用，而不是分层定价。对于分层定价，他们将根据使用哪种类型的Visa / MC收取不同的费用。他们会向我们收取更多附有丰厚奖励的卡。交换加计费意味着我们只需要向处理方支付Visa / MC向其收取的费用，外加固定费用。 (Amex和Discover直接向商家收取自己的价格，因此不适用于这些卡。我们会发现Amex的价格在3％的范围内，Discover的价格可能低至1％。Visa / MC在2％的范围)。该服务应该为我们进行协商(我没有使用过，这不是广告，并且我不隶属于该网站，但是非常需要此服务。)

这篇博文提供了处理信用卡(特别是在英国)的完整摘要。

也许我说错了这个问题，但是我正在寻找这样的提示：

• 使用SecurID或者eToken将一个额外的密码层添加到物理盒中。
• 确保盒子在有物理锁或者钥匙密码组合的房间里。

解决方案

回答

整个过程有很多。最简单的方法是使用类似于Paypal的服务，这样我们就永远不会真正处理任何信用卡数据。除此之外，还有很多事情要经过批准才能在网站上提供信用卡服务。我们可能应该与银行以及签发商家ID的人员进行交谈，以设置流程。

回答

正如其他人提到的，进入此区域最简单的方法是使用Paypal，Google checkout或者Nochex。但是，如果我们打算从事大量业务，则可能希望查找"升级"到更高级别的站点集成服务，例如WorldPay，NetBanx(UK)或者Neteller(US)。所有这些服务都相当容易设置。而且我知道Netbanx可以方便地集成到一些现成的购物车解决方案中，例如Intershop(因为我写了其中的一些)。除了我们正在考虑与银行系统(及其APAX系统)直接集成外，这很困难，这时我们还需要向信用卡公司证明我们正在安全地处理信用卡号(可能不值得考虑我们每月的收入就不会达到10万美元)。

从第一天到最后一个成本/收益的原因是，设置早期选项要容易得多(快捷/便宜)，因此我们为每笔交易支付相当高的手续费。后者的安装成本更高，但从长远来看，我们只需支付较少的费用。

大多数非专用解决方案的另一个优点是，我们无需确保加密的信用卡号的安全。多数民众赞成在别人的问题:-)

回答

我不久前在一家我工作过的公司中经历了这个过程，我计划很快以自己的业务再次经历这个过程。如果我们具有一些网络技术知识，那还不错。否则，使用Paypal或者其他类型的服务会更好。

该过程首先通过设置商家帐户并绑定到银行帐户开始。我们可能要向银行查询，因为许多主要的银行都提供商户服务。我们可能能够获得交易，因为我们已经是他们的客户，但是如果没有，那么我们可以货比三家。如果我们打算接受Discover或者American Express，则它们将是分开的，因为它们为卡提供商户服务，因此无法解决。还有其他特殊情况。这是一个应用程序，需要准备。

接下来，我们将要购买SSL证书，该证书可用于在公共网络上传输信用卡信息时保护通信。有很多供应商，但我的经验法则是从某种角度选择一个品牌名称。他们越了解，客户可能就越听说过它们。

接下来，我们将要找到一个可与网站一起使用的支付网关。尽管这取决于身高，但可以选择，但是大多数时候不会。我们将需要一个。支付网关供应商提供了一种与我们将与之通信的Internet Gateway API进行通信的方式。大多数供应商都通过其API提供HTTP或者TCP / IP通信。他们将代表我们处理信用卡信息。两个供应商是Authorize.Net和PayFlow Pro。我下面提供的链接提供了有关其他供应商的更多信息。

怎么办？对于初学者来说，有一些准则来指导应用程序必须遵循哪些准则才能传输交易。在进行所有设置的过程中，会有人查看网站或者应用程序，并确保我们遵守准则，例如使用SSL，并且我们拥有使用条款和政策文档，以了解用户所提供的信息为了。不要从其他站点窃取此文件。自己提出，如果需要，请聘请律师。这些问题大部分属于Michael在其问题中提供的PCI数据安全性链接。

如果计划存储信用卡号，则最好准备在内部采取一些安全措施以保护信息。确保只有需要访问权限的成员才能访问存储信息的服务器。像任何良好的安全性一样，我们可以分层进行处理。我们放置的层越多越好。如果需要，可以使用密钥卡类型的安全性(例如SecureID或者eToken)来保护服务器所在的房间。如果我们负担不起密钥卡路线，请使用两种密钥方法。允许有权进入房间的人签出钥匙，以及他们已经携带的钥匙。他们将需要两个钥匙才能进入房间。接下来，我们将使用策略保护与服务器的通信。我的政策是，通过网络与之通信的唯一内容是应用程序，并且信息已加密。该服务器不应以任何其他形式访问。对于备份，我使用truecrypt加密将备份保存到的卷。无论何时将数据删除或者存储在其他地方，都可以再次使用truecrypt加密数据所在的卷。基本上，无论数据在哪里，都需要进行加密。确保获取数据的所有过程都带有审核记录。使用日志访问服务器机房，使用摄像机(如果可以)，等等。另一措施是对数据库中的信用卡信息进行加密。这样可以确保只能在应用程序中查看数据，在该应用程序中可以强制谁查看信息。

我将pfsense用于防火墙。我用紧凑型闪存卡运行它，并设置了两个服务器。一种是用于故障转移以实现冗余。

我发现Rick Strahl撰写的这篇博客文章极大地帮助了人们了解进行电子商务以及通过Web应用程序接受信用卡需要做什么。

好吧，事实证明这是一个很长的答案。希望这些提示对我们有所帮助。

回答

问自己以下问题：为什么首先要存储信用卡号？我们可能没有。实际上，如果我们确实将它们存储起来并设法使它们被盗，那么我们可能要承担一些严重的责任。

我编写了一个存储信用卡号的应用程序(因为交易是离线处理的)。这是一个很好的方法：

• 获取SSL证书！
• 创建一个表单以从用户那里获取CC＃。
• 加密CC＃的一部分(不是全部！)并将其存储在数据库中。 (我建议使用中间的8位数字。)使用强大的加密方法和密钥。
• 将CC＃的其余部分邮寄给处理我们交易的任何人(可能是我们自己)，并带有要处理的人员的ID。
• 以后登录时，将输入ID和CC＃的邮寄部分。系统可以解密其他部分并重新组合以获得完整的号码，以便我们可以处理交易。
• 最后，删除在线记录。我偏执的解决方案是在删除之前用随机数据覆盖记录，以消除未删除的可能性。

这听起来需要做很多工作，但是通过从未记录完整的CCanywhere，我们使黑客很难在Web服务器上找到任何有价值的东西。相信我，值得安心。

回答

PCI 1.2文件刚刚发布。它提供了有关如何实现PCI合规性以及要求的过程。我们可以在此处找到完整的文档：

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

长话短说，为将用于存储CC信息的任何服务器(通常是DB服务器)创建一个单独的网段。尽可能隔离数据，并确保仅存在访问数据所需的最小访问权限。存储时对其进行加密。切勿存储PAN。清除旧数据并旋转加密密钥。

示例不：

• 不要让可以在数据库中查找常规信息的帐户查找抄送信息。
• 不要将CC数据库与Web服务器放在同一台物理服务器上。
• 不允许外部(Internet)流量进入CC数据库网段。

范例操作：

• 使用单独的数据库帐户查询抄送信息。
• 禁止通过防火墙/访问列表到CC数据库服务器的所有但必需的流量
• 将对CC服务器的访问限制为一组有限的授权用户。

回答

我想添加一个非技术性的评论，我们可能想考虑一下

我有几个客户经营电子商务网站，其中包括一对拥有中等规模商店的夫妇。两者虽然当然可以实施支付网关，但两者都选择了，但他们采用了抄送号，将其临时存储在网上进行了加密并手动进行了处理。

他们这样做是因为欺诈的发生率很高，而人工处理使他们可以在下订单之前进行其他检查。有人告诉我，他们拒绝人工处理所有交易的20％以上，这肯定会花费额外的时间，在一种情况下，他们有一名员工除了处理交易外什么都不做，但是支付薪水的费用显然比他们承担的风险少如果他们只是通过在线网关传递了抄送号码。

这两个客户都在交付具有转售价值的实物商品，因此特别容易受到影响，并且对于欺诈性销售不会导致任何实际损失的软件之类的商品，里程可能会有所不同，但值得在在线网关的技术方面进行考虑如果实现这样的确是我们想要的。

编辑：并且自创建此答案以来，我想添加一个警告性的故事，并说这是一个好主意，现在已经过去了。

为什么？因为我知道另一个正在采取类似方法的联系人。卡的详细信息已加密存储，可通过SSL访问该网站，并且在处理后立即删除了该号码。你认为安全吗？

他们的网络上没有任何一台计算机被密钥记录木马感染。结果，他们被确定为多次伪造分数信用卡的来源，因此遭到巨额罚款。

因此，我现在从不建议任何人自己处理信用卡。此后，支付网关变得更具竞争力且更具成本效益，欺诈措施也得到了改善。现在，这种风险已不再值得。

我可以删除此答案，但我认为最好还是将其保留为一个警告。

回答

为什么要烦恼PCI合规性？充其量来说，我们将可以节省百分之几的手续费。在这种情况下，我们必须确定这是我们想要做的事情，无论是在开发的前期还是随着时间的推移，都必须满足最新的要求。

在我们的案例中，最有效的方法是使用可订阅订阅的网关，并将其与商户帐户配对。节省订阅的网关使我们可以跳过所有PCI合规性，而只需要适当地处理事务即可。

我们使用TrustCommerce作为我们的门户，并对他们的服务/定价感到满意。他们具有用于多种语言的代码，这些代码使集成变得非常容易。

回答

确保处理PCI所需的额外工作和预算。 PCI可能需要巨额的外部审计费用和内部工作/支持。另外，请注意可能单方面向我们征收的罚款/罚金，通常与"罚款"的规模不成比例。

回答

请记住，使用SSL将卡号从浏览器发送到服务器时，就像在将卡交给餐厅的收银员时用拇指遮住信用卡号：拇指(SSL)会阻止餐厅中的其他顾客(网络)无法看到卡，但是一旦将卡交给收银员(网络服务器)，则该卡将不再受到SSL交换的保护，收银员可以对该卡进行任何操作。仅可通过Web服务器上的安全性来阻止访问已保存的卡号。即，网络上的大多数卡盗窃都不会在传输过程中完成，这是通过突破不良的服务器安全性并窃取数据库来完成的。