2012-04-10 12 views
2

初めてクレジットカードを受け入れるサイトを設定しています。初めてクレジットカードを受け入れる。私は何をする必要がありますか?

私はDrupalを使用して製品を管理し、コンテンツを保管していますが、それは重要ではありません。私は、プラットフォームに依存しないクレジットカード受入要件のコミュニティ生成のリストを構築するのを手伝っていたいと思います。

私は、クレジットカードを安全かつ責任をもって受け入れるために必要なもののチェックリストを探しています。

私は相当量の研究をしました。

以下の質問は良いですが、マーチャントアカウントを取得してクレジットカードをサイトに保存することに焦点を当てています。私は中型の組織にほとんどのWeb開発者や小規模これを実行する必要はありませんだと思う。 Payment Processors - What do I need to know if I want to accept credit cards on my website?

は、ここで私は私が必要だと思うものです:

  1. 固定IPアドレスとSSL証明書(ウェブホストを通じて購入します、 )行うことは非常に簡単
  2. が支払プロセッサ(ストライプ、Authorize.net、ペイパルプロ)
  3. との関係を設定)Drupalの機能(すべてのカートおよびチェックアウトページにHTTPSを有効に支払いを一致させるために、サイトを開発これは、すべてのクレジットカードを受け入れるにあり、本当にプロセッサAPI
  4. 実行(Do)テストトランザクション
  5. フリップ
  6. は、より多くのテストトランザクション

を行い生きるために(私にとっては、これはDrupalのモジュールは意味)ですか?私は何か不足していますか?

答えて

1

少なくとも、あなたのサービスにおける主要な活動のリアルタイム監視を追加します。失敗したパスワード試行、偽のURLとURLパラメータ、取引数量/ドル額などこのような種類のメトリックは、悪意のある動作が問題になる前にそれを捕捉するのに役立ちます。

また、アカウントのセキュリティ、パスワードの保管方法(BCryptなどで暗号化されたハッシュ化されたもの)などの個人情報も考慮する必要があります。

クレジットカード情報の保存について真剣に考え直しています。 PCI-DSS(http://en.wikipedia.org/wiki/PCI_DSS)の要件に準拠しても、プロセッサが提供するチェックアウトサービスを使うほうがずっと簡単です。

技術的な要件はそれほど厳しいものではありません。違反のために脚光を浴びることははるかに困難です。私は1日に何千もの取引を処理する会社を経営しました...それは可能ですが、リスク要因の上に留まるためにはかなりの量の注意が必要です。

あなたが進むことを選択した場合は、あなたが何かを見逃していないことを確認するために生きて行く前に、私はいくつかの質の高い倫理的なハッキングに投資します。

幸運。

1

本質的に、あなたが述べていることはそれをカバーしています。それは、あなたのセキュリティを強化するためのBaldyのアドバイスがポイントであると言いました。あなたは取引をしており、プライバシーとセキュリティの関係があります。クレジットカードのデータを保持する場合は、ユーザーをサーバーに戻ってサイトに戻す支払いゲートウェイを使用することになります。クレジットカードの詳細は実際にサイトに保存されません。機密データを収集する独自のフォームを追加する(またはユーザーページを変更する)ことで、この保護を終了しないでください。

関連する問題