支払い情報

Question

を格納すること。これは、我々の現在のアプローチは、ユーザーがサードパーティのWebフォーム上のリダイレクト後に支払いの詳細を入力することですウェブコマースアプリケーションのための支払い情報の保存と検索に関する一般的な質問

の詳細ですこれはPayPalの場合と同様です。

繰り返し注文を容易にするために、クレジットカード番号、PII情報などの支払い情報の詳細を保存することが明らかです。

これは深刻なセキュリティ上の影響があるため、一般的に認められているベストプラクティスが何であるか不思議です。これは基本的にStripeのような他のツールでこれを処理することをお勧めしますか？または、他の人たちに社内ソリューションを提供してもらえますか？

参考までに、Java Servlets/JSPで作業しています。

Answer 1

私はあなたがなぜ落選したのか分かりません。実際には興味深い質問です。

この質問の一般的な回答はです。は何も保存しません。 Paypalのようなサードパーティ製の決済ゲートウェイを使ってみましょう。

あなたは間違っている可能性が高いセキュリティについてだけでなく、クレジットカードなどの機密データを保存する権利などの規制も処理しなければなりません。

これは、ブラウザのセッション記憶域に格納するという、非常に危険な回避策です。このanswerについては、セッションストレージは合理的に安全です。 HTTPSを使用し、XSS予防を適切に実施することを忘れないでください。しかし、再び、これは私にはお勧めできません。

Answer 2

あなたの質問はかなり幅広く、「ベストプラクティス」はしばしば個人的な好みや偏見の言葉です。クレジットカード情報を処理するために、しかし

...ほとんどの国で

は、（多くの場合、「カード保持者は存在しない」とも呼ばれる）あなたの銀行との取り決めを持っているあなたを必要とし、銀行は上のかなり厳格なセキュリティ要件を課しますその取り決めをするときにあなたが英国では、これらの要件は「PCI DSS（Payment Card Industry Data Security Standard）」として知られています。

さまざまなオプションがあります。大規模なオンラインストアでは、インフラストラクチャに支払明細を保存するために投資することがありますが、必要なセキュリティ基準を満たすためのコストは重要です。

また、銀行とのやりとりを管理する仲介会社payment gatewayで働くこともできます。彼らは通常、 "Paypalのような"リダイレクトからクレジットカードデータを収集するAPIへのリダイレクトから、支払いを確認するためのAPIに渡すといった、いくつかの異なる統合オプションを持っています。多くの支払いゲートウェイでは、インフラストラクチャ（PCI準拠）に支払明細を保存し、将来の支払いのためにトークンを取得することができます。なぜならそれはそれは、downvotedてしまった

customer places first order 
customer enters payment details 
payment gateway verifies payment details 
payment gateway collects payment 
payment gateway stores payment details 
payment gateway sends token to website 
website stores payment token with customer profile 
customer places second order 
website retrieves payment token 
website asks "use previous payment details" 
customer agrees 
website sends token to payment gateway 
payment gateway retrieves payment details 
payment gateway collects payment 
payment gateway tells website payment succeeded