[解決済み】ペイメントプロセッサー - 自分のウェブサイトでクレジットカードを利用したい場合、何を知っておく必要がありますか？[終了しました］

質問

この質問 しかし、クレジットカードでの支払いを受け付けたければ、どうすればいいのでしょうか？

以下が必要だと仮定します。 店舗 そのため、クレジットカード決済代行会社に任せるという明白な解決策は使えません。

PCIデータセキュリティ クレジットカードの情報を保存するための標準的な規格で、一般的な要件がたくさんあるようですが どのように実装するのか ?

また、ベンダーの場合はどうかというと、例えば ビザ 独自のベストプラクティスがあるのでしょうか？

機械にキーフォブでアクセスする必要がありますか？建物内のハッカーから物理的に保護するのはどうでしょうか？ あるいは、誰かがSQLサーバーのデータファイルが入ったバックアップファイルを手に入れたらどうするのでしょうか？

バックアップはどうする？そのデータの物理的なコピーが他にあるのでしょうか？

ヒント マーチャントアカウントを取得する場合、段階的な価格設定ではなく、"インターチェンジプラス"を請求するように交渉する必要があります。 例えば、大きな特典の付いたカードはより多くの料金を請求されます。 インターチェンジ・プラス・ビリングとは、プロセッサーに支払うのはVisa/MCから請求された金額と一律の手数料のみです。 (アメックスとディスカバーは独自のレートを直接加盟店に請求しているので、これらのカードには適用されません。 アメックスのレートは3％台、ディスカバーは1％台と低めです。 Visa/MCは2％台です)。 このサービスは、あなたに代わって交渉することになっている (私は利用していませんし、これは広告でもありませんし、このサイトとは関係ありません。しかし、このサービスは大いに必要です。)

このブログの記事で クレジットカードの取り扱いについて (特に英国向け)。

質問の仕方が悪かったのかもしれませんが、このようなヒントを探しているのです。

1. 使用方法 セキュリティーID または eToken を使用すると、物理的なボックスに追加のパスワードレイヤーを追加することができます。
2. ボックスが物理的なロックまたはキーコードの組み合わせのある部屋にあることを確認します。

解決方法は？

私は少し前に勤めていた会社でこのプロセスを経験し、近いうちに自分のビジネスで再び経験する予定です。 もし、あなたがネットワークの技術的な知識を持っているならば、それは本当に悪いことではありません。

を取得するところから始まります。 マーチャントアカウント を設定し、あなたの銀行口座に結びつけます。 多くの大手銀行がマーチャントサービスを提供しているので、銀行に確認するとよいでしょう。 あなたはすでに彼らの顧客であるため、お得な情報を得ることができるかもしれませんが、そうでない場合、その後、店の周りにすることができます。 あなたはDiscoverやアメリカンエクスプレスを受け入れることを計画している場合、彼らは彼らのカードのための加盟店サービスを提供するため、これらは、この周りに取得することはありません、別々になります。 その他、特別なケースもあります。 これは申請手続きであり、覚悟が必要です。

次に購入したいのは SSL証明書 クレジットカード情報を公共ネットワークで送信する際の通信の安全性を確保するために使用します。 ベンダーはたくさんありますが、私の経験則では、ある意味ブランド名のあるものを選ぶことです。 知名度が高ければ高いほど、おそらくお客さまも聞いたことがあるはずです。

次に ペイメントゲートウェイ をあなたのサイトで使用することができます。 これは規模によってはオプションになることもありますが、大半はそうではないでしょう。 必ず必要です。 決済ゲートウェイベンダーは、あなたが通信するインターネットゲートウェイAPIと対話する方法を提供します。 ほとんどのベンダーは、そのAPIとHTTPまたはTCP/IP通信を提供します。 彼らはあなたに代わってクレジットカード情報を処理します。 2つのベンダーは オーソライズドットネット と PayFlow Pro . 他のベンダーについては、以下のリンクに詳細な情報があります。

さて、どうする？まず最初に、トランザクションを送信するためにアプリケーションが遵守しなければならないガイドラインがあります。 すべてを設定する過程で、誰かがあなたのサイトやアプリケーションを見て、SSLの使用など、ガイドラインに準拠していることを確認し、ユーザーが提供する情報が何に使用されるかについての使用条件やポリシー文書を持っているかどうかを確認します。 他のサイトから盗用してはいけません。 必要であれば弁護士を雇い、自分で考えましょう。 これらのほとんどは、Michaelが質問で提示したPCIデータセキュリティのリンクに該当するものです。

クレジットカードの番号を保存するつもりなら、情報を保護するために社内で何らかのセキュリティ対策を講じる用意があるはずです。 情報を保存するサーバーには、アクセスする必要があるメンバーだけがアクセスできるようにする。 どんな優れたセキュリティでもそうですが、物事は何層にもわたって行われます。 セキュリティは何層にも重ねるほど効果的です。 必要であれば、キーフォブタイプのセキュリティを使用することもできます。 セキュアID または eToken サーバーのある部屋を保護するために キーフォブ方式が無理なら、2キー方式を採用する。 その部屋にアクセスできる人が、すでに持っているキーと一緒にキーをサインアウトすることができるようにします。 部屋に入るには両方の鍵が必要です。 次に、サーバーとの通信をポリシーで保護します。 私のポリシーは、ネットワーク上で通信するのはアプリケーションだけで、その情報は暗号化されるというものです。 それ以外の形でサーバーにアクセスできないようにします。 バックアップのために、私は ツルークリプト を使用して、バックアップの保存先ボリュームを暗号化します。 データが削除されたり、別の場所に保存されたりする場合はいつでも、データのあるボリュームを暗号化するために再びtruecryptを使用します。 基本的に、データがどこにあるにせよ、暗号化されている必要があります。 サーバールームへのアクセスログ、可能であればカメラの使用など、データを取得するためのすべてのプロセスには監査証跡があることを確認してください。 もう一つの対策は、データベース内のクレジットカード情報を暗号化することです。 もう一つの対策は、データベース内のクレジットカード情報を暗号化することです。これにより、データを閲覧できるのは、誰が情報を見るかを強制できるアプリケーション内だけになります。

私が使っているのは pfsense ファイアウォールに使用しています。 コンパクトフラッシュカードから起動し、サーバーを2台セットアップしています。 1台は冗長性を確保するためのフェイルオーバー用です。

こんなの見つけた ブログ記事 リック・ストロールの著書は、eコマースとウェブアプリケーションでクレジットカードを受け入れるために必要なことを理解するのに非常に役に立ちました。

さて、長い答えになってしまいました。 これらのヒントがお役に立てれば幸いです。