Pemroses Pembayaran - Apa yang perlu saya ketahui jika saya ingin menerima kartu kredit di situs web saya? [Tutup]


258

Pertanyaan ini berbicara tentang berbagai prosesor pembayaran dan berapa biayanya, tetapi saya mencari jawaban untuk apa yang harus saya lakukan jika saya ingin menerima pembayaran kartu kredit?

Asumsikan saya perlu menyimpan nomor kartu kredit untuk pelanggan, sehingga solusi yang jelas dari mengandalkan prosesor kartu kredit untuk melakukan pengangkatan berat tidak tersedia.

PCI Data Security , yang tampaknya merupakan standar untuk menyimpan info kartu kredit, memiliki banyak persyaratan umum, tetapi bagaimana cara mengimplementasikannya ?

Dan bagaimana dengan vendor, seperti Visa , yang memiliki praktik terbaik mereka sendiri?

Apakah saya perlu memiliki akses keyfob ke mesin? Bagaimana dengan melindunginya secara fisik dari peretas di gedung? Atau bahkan bagaimana jika seseorang mendapatkan file cadangan dengan file data server sql di atasnya?

Bagaimana dengan backup? Apakah ada salinan fisik lain dari data itu?

Kiat: Jika Anda mendapatkan akun pedagang, Anda harus bernegosiasi bahwa mereka menagih Anda "interchange-plus" alih-alih harga berjenjang. Dengan harga berjenjang, mereka akan menagih Anda dengan tarif berbeda berdasarkan jenis Visa / MC apa yang digunakan - yaitu. mereka menagih lebih banyak untuk kartu dengan hadiah besar yang melekat padanya. Penukaran ditambah penagihan berarti Anda hanya membayar kepada prosesor berapa biaya Visa / MC mereka, ditambah biaya tetap. (Amex dan Discover menagih tarif mereka sendiri langsung ke pedagang, jadi ini tidak berlaku untuk kartu-kartu itu. Anda akan menemukan tarif Amex berada di kisaran 3% dan Temukan bisa serendah 1%. Visa / MC ada di kisaran 2%). Layanan ini seharusnya melakukan negosiasi untuk Anda (saya belum menggunakannya, ini bukan iklan, dan saya tidak berafiliasi dengan situs web,

Posting blog ini memberikan ikhtisar lengkap penanganan kartu kredit (khusus untuk Inggris).


Mungkin saya salah mengutarakan pertanyaannya, tetapi saya mencari tips seperti ini:

  1. Gunakan SecurID atau eToken untuk menambahkan lapisan kata sandi tambahan ke kotak fisik.
  2. Pastikan kotak berada di ruangan dengan kunci fisik atau kombinasi kode kunci.

1
Ini telah ditinggalkan oleh PA-DSS 2.0.

Jawaban:


236

Saya telah melalui proses ini belum lama ini dengan perusahaan tempat saya bekerja dan saya berencana untuk segera melewatinya lagi dengan bisnis saya sendiri. Jika Anda memiliki pengetahuan teknis jaringan, itu sebenarnya tidak terlalu buruk. Kalau tidak, Anda akan lebih baik menggunakan Paypal atau jenis layanan lain.

Prosesnya dimulai dengan mendapatkan pengaturan akun pedagang dan diikat ke rekening bank Anda. Anda mungkin ingin memeriksa dengan bank Anda, karena banyak bank besar menyediakan layanan pedagang. Anda mungkin bisa mendapatkan penawaran, karena Anda sudah menjadi pelanggan mereka, tetapi jika tidak, maka Anda bisa berbelanja. Jika Anda berencana menerima Discover atau American Express, itu akan terpisah, karena mereka memberikan layanan merchant untuk kartu mereka, tidak perlu menyiasatinya. Ada juga kasus khusus lainnya. Ini adalah proses aplikasi, bersiaplah.

Selanjutnya Anda akan ingin membeli sertifikat SSL yang dapat Anda gunakan untuk mengamankan komunikasi Anda ketika info kartu kredit dikirim melalui jaringan publik. Ada banyak vendor, tetapi aturan praktis saya adalah memilih salah satu yang merupakan nama merek. Semakin baik mereka dikenal, semakin baik pelanggan Anda mungkin pernah mendengar tentang mereka.

Selanjutnya Anda akan ingin mencari gateway pembayaran untuk digunakan dengan situs Anda. Meskipun ini bisa opsional tergantung pada seberapa besar Anda, tetapi sebagian besar waktu tidak. Anda akan membutuhkannya. Vendor gateway pembayaran menyediakan cara untuk berbicara dengan Internet Gateway API yang akan Anda ajak berkomunikasi. Sebagian besar vendor menyediakan komunikasi HTTP atau TCP / IP dengan API mereka. Mereka akan memproses informasi kartu kredit atas nama Anda. Dua vendor adalah Authorize.Net dan PayFlow Pro . Tautan yang saya berikan di bawah ini memiliki beberapa informasi lebih lanjut tentang vendor lain.

Sekarang apa? Sebagai permulaan ada pedoman tentang apa aplikasi Anda harus mematuhi untuk mentransmisikan transaksi. Selama proses mendapatkan pengaturan semuanya, seseorang akan melihat situs atau aplikasi Anda dan memastikan Anda mematuhi pedoman, seperti menggunakan SSL dan bahwa Anda memiliki ketentuan penggunaan dan dokumentasi kebijakan tentang apa informasi yang pengguna berikan kepada Anda digunakan. untuk. Jangan mencuri ini dari situs lain. Datang sendiri, sewa pengacara jika perlu. Sebagian besar dari hal-hal ini berada di bawah tautan PCI Data Security yang disediakan Michael dalam pertanyaannya.

Jika Anda berencana menyimpan nomor kartu kredit, lebih baik Anda bersiap untuk menerapkan beberapa langkah keamanan secara internal untuk melindungi informasi tersebut. Pastikan server tempat informasi disimpan hanya dapat diakses oleh anggota yang perlu memiliki akses. Seperti halnya keamanan yang baik, Anda melakukan banyak hal secara berlapis-lapis. Semakin banyak layer yang Anda pasang, semakin baik. Jika mau, Anda dapat menggunakan keamanan jenis kunci fob, seperti SecureID atau eTokenuntuk melindungi ruangan tempat server berada. Jika Anda tidak mampu membeli rute fob kunci, gunakan metode dua kunci. Izinkan orang yang memiliki akses ke ruangan untuk keluar kunci, yang sejalan dengan kunci yang sudah mereka bawa. Mereka akan membutuhkan kedua kunci untuk mengakses ruangan. Selanjutnya Anda melindungi komunikasi ke server dengan kebijakan. Kebijakan saya adalah bahwa satu-satunya hal yang berkomunikasi dengannya melalui jaringan adalah aplikasi dan informasinya dienkripsi. Server tidak boleh diakses dalam bentuk lain apa pun. Untuk cadangan, saya menggunakan truecryptuntuk mengenkripsi volume, cadangan akan disimpan. Kapan saja data dihapus atau disimpan di tempat lain, sekali lagi Anda menggunakan truecrypt untuk mengenkripsi volume data aktif. Pada dasarnya di mana pun data berada, perlu dienkripsi. Pastikan semua proses untuk mendapatkan data membawa jalur audit. gunakan log untuk akses ke ruang server, gunakan kamera jika Anda bisa, dll ... Langkah lain adalah mengenkripsi informasi kartu kredit dalam database. Ini memastikan bahwa data hanya dapat dilihat di aplikasi Anda di mana Anda dapat menegakkan siapa yang melihat informasi tersebut.

Saya menggunakan pfsense untuk firewall saya. Saya menjalankannya dari kartu flash kompak dan memiliki dua pengaturan server. Salah satunya adalah untuk kegagalan lebih untuk redundansi.

Saya menemukan posting blog ini oleh Rick Strahl yang sangat membantu memahami melakukan e-commerce dan apa yang diperlukan untuk menerima kartu kredit melalui aplikasi web.

Nah, ini ternyata jawaban yang panjang. Semoga tips ini membantu.


13
Jawaban sempurna. Saya harap orang lain menambahnya.
Michael Pryor

3
Salah satu yang terbaik yang pernah saya lihat .... +1
Frederic Morin

2
@Michael Pryor: Jika begitu sempurna, mengapa orang lain perlu menambahkannya? Hah???
donat

17
@donut: Karena waktu terus berjalan, dan jawaban jarang statis.
Jenis Anonim

22

Tanyakan kepada diri Anda pertanyaan berikut: mengapa Anda ingin menyimpan nomor kartu kredit ? Kemungkinannya adalah Anda tidak melakukannya. Bahkan, jika Anda melakukan menyimpannya dan mengelola untuk memiliki satu dicuri, Anda dapat melihat beberapa kewajiban yang serius.

Saya telah menulis sebuah aplikasi yang menyimpan nomor kartu kredit (karena transaksi diproses secara offline). Berikut cara yang baik untuk melakukannya:

  • Dapatkan sertifikat SSL!
  • Buat formulir untuk mendapatkan CC # dari pengguna.
  • Enkripsi bagian (tidak semua!) Dari CC # dan simpan di basis data Anda. (Saya akan menyarankan 8 digit tengah.) Gunakan metode enkripsi yang kuat dan kunci rahasia.
  • Kirimkan sisa CC # kepada siapa pun yang memproses transaksi Anda (mungkin diri Anda sendiri) dengan ID orang yang akan diproses.
  • Saat Anda masuk nanti, Anda akan mengetik ID dan bagian CC # yang dikirim keluar. Sistem Anda dapat mendekripsi bagian lain dan bergabung kembali untuk mendapatkan nomor lengkap sehingga Anda dapat memproses transaksi.
  • Akhirnya, hapus catatan online. Solusi paranoid saya adalah menimpa catatan dengan data acak sebelum dihapus, untuk menghapus kemungkinan penghapusan.

Ini kedengarannya seperti banyak pekerjaan, tetapi dengan tidak pernah merekam CC # lengkap di mana saja, Anda membuatnya sangat sulit bagi seorang peretas untuk menemukan sesuatu yang bernilai di server web Anda. Percayalah, ini layak untuk ketenangan pikiran.


1
Lihat komentar Michael yang tersisa untuk Sam Wessel di bawah.
Dale Ragan

17

Dokumen PCI 1.2 baru saja keluar. Ini memberikan proses bagaimana menerapkan kepatuhan PCI bersama dengan persyaratan. Anda dapat menemukan dokumen lengkap di sini:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

Singkatnya, buat segmen jaringan terpisah untuk server mana pun yang akan didedikasikan untuk menyimpan info CC (biasanya server DB). Isolasi data sebanyak mungkin, dan pastikan hanya akses minimum yang diperlukan untuk mengakses data. Enkripsi saat Anda menyimpannya. Jangan pernah menyimpan PAN. Bersihkan data lama dan putar kunci enkripsi Anda.

Larangan Contoh:

  • Jangan biarkan akun yang sama yang dapat mencari info umum di database mencari info CC.
  • Jangan simpan database CC Anda di server fisik yang sama dengan server web Anda.
  • Jangan izinkan lalu lintas eksternal (Internet) ke segmen jaringan basis data CC Anda.

Contoh Dos:

  • Gunakan akun Database terpisah untuk menanyakan informasi CC.
  • Larang semua kecuali yang diperlukan lalu lintas ke server basis data CC melalui firewall / akses-daftar
  • Batasi akses ke server CC ke sekelompok pengguna terbatas yang diizinkan.

5
Perhatikan bahwa persyaratan PCI-DSS berlaku untuk semua sistem yang dilewati data kartu dan bukan hanya tempat penyimpanannya . Batasan dan persyaratan keamanan yang sama karena itu juga berlaku untuk server-web / server-aplikasi (dan situs-situs yang dimiliki oleh semua vhost lain di mesin-mesin itu) dan semua host lain di segmen jaringan yang sama dengan mesin-mesin itu.
Cheekysoft

Dan jika Anda menerima nomor kartu kredit melalui telepon atau di atas kertas, dan mengetiknya di komputer desktop Anda, maka pembatasan yang sama berlaku di sana juga.
Stobor

15

Saya ingin menambahkan komentar non-teknis yang mungkin ingin Anda pikirkan

Beberapa klien saya menjalankan situs e-commerce, termasuk pasangan yang memiliki toko cukup besar. Keduanya, sementara mereka tentu bisa menerapkan gateway pembayaran memilih tidak terlalu, mereka mengambil nomor cc, menyimpannya dienkripsi sementara online dan memprosesnya secara manual.

Mereka melakukan ini karena tingginya insiden penipuan dan pemrosesan manual memungkinkan mereka untuk mengambil cek tambahan sebelum mengisi pesanan. Saya diberitahu bahwa mereka menolak sedikit lebih dari 20% dari semua transaksi mereka - pemrosesan secara manual tentu saja membutuhkan waktu ekstra dan dalam satu kasus mereka memiliki seorang karyawan yang tidak melakukan apa-apa selain memproses transaksi, tetapi biaya untuk membayar gajinya tampaknya lebih rendah daripada biaya mereka. eksposur jika mereka hanya melewati nomor cc melalui gateway online.

Kedua klien ini mengirimkan barang fisik dengan nilai jual kembali, jadi sangat terbuka dan untuk barang-barang seperti perangkat lunak di mana penjualan yang curang tidak akan menghasilkan kerugian aktual, jarak tempuh Anda akan bervariasi, tetapi ada baiknya mempertimbangkan aspek teknis gateway online di atas. jika implementasi seperti itu benar-benar yang Anda inginkan.

EDIT: Dan sejak membuat jawaban ini saya ingin menambahkan kisah peringatan dan mengatakan bahwa waktunya sudah lewat ketika ini adalah ide yang bagus.

Mengapa? Karena saya tahu ada kontak lain yang mengambil pendekatan serupa. Rincian kartu disimpan terenkripsi, situs web diakses oleh SSL, dan nomor-nomornya dihapus segera setelah diproses. Aman menurut Anda?

Tidak ada satu mesin di jaringan mereka yang terinfeksi oleh Trojan logging kunci. Akibatnya mereka diidentifikasi sebagai sumber untuk beberapa pemalsuan kartu kredit skor - dan akibatnya terkena denda besar.

Sebagai hasil dari ini saya sekarang tidak pernah menyarankan siapa pun untuk menangani kartu kredit sendiri. Gateway pembayaran telah menjadi jauh lebih kompetitif dan hemat biaya, dan langkah-langkah penipuan telah meningkat. Risiko sekarang tidak lagi sepadan.

Saya bisa menghapus jawaban ini, tetapi saya pikir sebaiknya tinggalkan diedit sebagai kisah peringatan.


1
Ini adalah komentar yang sangat berguna, sesuatu yang tidak pernah saya pertimbangkan. Terima kasih
0plus1

8

Ingatlah bahwa menggunakan SSL untuk mengirim nomor kartu dari peramban ke server seperti menutupi nomor kartu kredit Anda dengan ibu jari saat Anda menyerahkan kartu ke kasir di restoran: ibu jari (SSL) mencegah pelanggan lain di restoran (Net) dari melihat kartu, tetapi begitu kartu berada di tangan kasir (server web) kartu tidak lagi dilindungi oleh pertukaran SSL, dan kasir dapat melakukan apa saja dengan kartu itu. Akses ke nomor kartu yang disimpan hanya dapat dihentikan oleh keamanan di server web. Yaitu, sebagian besar pencurian kartu di internet tidak dilakukan selama transmisi, mereka dilakukan dengan menerobos keamanan server yang buruk dan mencuri basis data.


Di situlah PCI DSS masuk. Yaitu dengan tidak menyimpan PAN penuh di server.
Martin Clarke

5

Mengapa repot-repot dengan kepatuhan PCI ?? Paling-paling Anda akan mencukur sebagian kecil dari biaya pemrosesan Anda. Ini adalah salah satu kasus di mana Anda harus yakin ini adalah apa yang ingin Anda lakukan dengan waktu Anda baik di masa depan dalam pengembangan dan seiring waktu dalam mengikuti persyaratan terbaru.

Dalam kasus kami, masuk akal untuk menggunakan gateway yang langganan dan memasangkannya dengan akun pedagang. Gerbang langganan yang langganan memungkinkan Anda untuk melewati semua kepatuhan PCI dan melakukan tidak lebih dari proses transaksi yang semestinya.

Kami menggunakan TrustCommerce sebagai gateway kami dan senang dengan layanan / harga mereka. Mereka memiliki kode untuk banyak bahasa yang membuat integrasi cukup mudah.


5
Salah satu alasannya adalah untuk menghindari disandera oleh gateway pembayaran, di mana jika Anda ingin beralih ke gateway lain, gateway sebelumnya mungkin tidak akan memberi Anda akses ke semua info CC yang mereka miliki dari pelanggan Anda, sehingga memaksa Anda untuk bertanya pelanggan untuk rincian CC tentang pembelian dengan gateway pembayaran baru. Lanjutkan ke langkah 1. :)
Zabba

3

Pastikan untuk menangani pekerjaan tambahan dan anggaran yang dibutuhkan untuk PCI. PCI mungkin memerlukan biaya audit eksternal yang besar dan upaya / dukungan internal. Perhatikan juga denda / penalti yang dapat dikenakan secara sepihak pada Anda, sering sangat tidak proporsional dengan skala 'ofense'.


2

Ada banyak hal dalam keseluruhan proses. Satu-satunya cara termudah untuk melakukannya adalah dengan menggunakan layanan yang mirip dengan paypal, sehingga Anda tidak pernah benar-benar menangani data kartu kredit. Selain itu, ada beberapa hal yang harus dilalui untuk mendapatkan persetujuan untuk menawarkan layanan kartu kredit di situs web Anda. Anda mungkin harus berbicara dengan bank Anda, dan orang-orang yang mengeluarkan ID pedagang Anda untuk membantu Anda dalam mengatur proses.


2

Seperti orang lain telah menyebutkan cara termudah ke daerah ini adalah dengan menggunakan Paypal , Google checkout atau Nochex . Namun, jika Anda berniat ke sejumlah besar bisnis, Anda mungkin ingin mencari "peningkatan" ke layanan integrasi situs tingkat tinggi seperti WorldPay , NetBanx (Inggris) atau Neteller (AS) . Semua layanan ini cukup mudah diatur. Dan saya tahu bahwa Netbanx menawarkan integrasi yang nyaman ke beberapa solusi keranjang belanja seperti Intershop (karena saya menulis beberapa di antaranya). Selain itu Anda sedang melihat integrasi langsung dengan sistem perbankan (dan sistem APAX mereka) tetapi itu sulit dan pada saat itu Anda juga perlu membuktikan kepada perusahaan kartu kredit bahwa Anda menangani nomor kartu kredit dengan aman (mungkin tidak layak dipertimbangkan jika Anda tidak menerima nilai $ 100 ribu per bulan).

Bekerja dari tanggal 1 hingga terakhir, biaya / manfaatnya adalah bahwa opsi awal jauh lebih mudah (lebih cepat / lebih murah) untuk mengatur sehingga Anda membayar biaya penanganan yang cukup tinggi untuk setiap transaksi. yang berikutnya jauh lebih mahal untuk didirikan tetapi Anda membayar lebih sedikit dalam jangka panjang.

Keuntungan lain dari sebagian besar solusi yang tidak berdedikasi adalah Anda tidak perlu menjaga keamanan nomor kartu kredit terenkripsi. Itulah masalah orang lain :-)

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.