ক্রেডিট কার্ডের বিশদ সংরক্ষণ করা

60

আমাদের তৃতীয় পক্ষের বণিকের মাধ্যমে পুনরাবৃত্ত বিলিংয়ের জন্য আমাকে ক্রেডিট কার্ড নম্বর সঞ্চয় করতে হবে।

বিশদ সংগ্রহের বিষয়ে আমার কি মান্য করা দরকার? আমরা বছরের পর বছর ধরে ক্রেডিট কার্ড গ্রহণ করে আসছি তবে আমরা সেগুলি করার সাথে সাথে তাদের বিশদটি বাতিল করে দিতাম। আমাদের গ্রাহকরা অনুরোধ করেছেন যে আমরা তাদের বিশদটি সংরক্ষণ করব যাতে তাদের প্রতি মাসে ম্যানুয়ালি তাদের সাবস্ক্রিপশন ফি দিতে হয় না।

তাদের সাবস্ক্রিপশনগুলি ব্যবহার করতে পেপালে সরানো কোনও বিকল্প নয়। আমাদের সেগুলি সংরক্ষণ করতে হবে এবং আমার নিশ্চিত হওয়া দরকার যে সঞ্চয়টি নিরাপদ!

আমরা আমাদের ডেটা-র জন্য এমএসএসকিউএল 2005 টি উচ্চারণ করি এবং ইতিমধ্যে সমস্ত কিছু এসএসএলড হয়।

security  creditcard  storage 
মার্ক হেন্ডারসন
সূত্র

উত্তর:

86

আপনার অনুসরণ করতে হবে (চিঠির কাছে) এবং পিসিআই ডিএসএস মানটি অতিক্রম করতে হবে । এটি কোনও উপায়েই সম্পাদন করা সহজ কাজ নয় বা তুচ্ছভাবে নেওয়া উচিত নয়।

আমি দৃ strongly়ভাবে প্রস্তাব দিচ্ছি যে আপনি এমন একটি তৃতীয় পক্ষের প্রসেসরের সন্ধান করুন যা এটি আপনার জন্য পরিচালনা করতে পারে এবং এটি আপনার বিলিং সিস্টেমে সংহত করতে পারে। এটি কেবল এসএসএল থাকা এবং ডাটাবেসে তথ্য এনক্রিপ্ট করা ছাড়িয়ে যায়। আপনাকে অ্যাক্সেসও নিরীক্ষণ করতে হবে, অনুপ্রবেশগুলি সনাক্ত করতে হবে, এমন জায়গায় এমন সিস্টেম থাকতে হবে যা লঙ্ঘনের ঘটনায় কেবল ক্ষতিগ্রস্থ ব্যক্তিদের অবহিত করতে পারে (এবং কোন ডেটা নিয়ে আপস করা হয়েছে তা নির্ধারণ করতে পারে) ইত্যাদি।

তারপরে, সার্ভারগুলিতে, নেটওয়ার্ক ইত্যাদিতে শারীরিক অ্যাক্সেস রয়েছে This এর অর্থ একটি লক করা মন্ত্রিসভা যা আপনার নিজের যেখানে সার্ভারগুলিতে ভাগ হয় না সেখানে শারীরিক ল্যানও সুরক্ষিত। সম্মতি সস্তা বা সহজ হতে চলেছে না।

সত্যই, এটি তৃতীয় পক্ষের কাছে অফলোড করার জন্য সম্ভব সমস্ত প্রচেষ্টা ব্যয় করুন। একা দায় কেবল ঝুঁকির পক্ষে মূল্যহীন নয় যতক্ষণ না আপনি মাসিক কয়েক হাজার (এইখানে আপনার মুদ্রা inোকান) পরিমাণে লেনদেন করছেন। সেক্ষেত্রে, আপনার সংরক্ষণ করা ফিগুলি তথ্য সংরক্ষণ করে এমন সিস্টেমগুলি প্রয়োগ ও নিরীক্ষণের জন্য প্রয়োজনীয় প্রতিভা বয়ে আনাকে ন্যায্যতা দেয়। আপনার প্রয়োজন হবে:

  • সিস্টেম প্রোগ্রামার (আপনার প্রয়োজন হবে কার্নেল এবং ফাইল সিস্টেম স্তরের অডিটিং হুক)
  • আইডিএস / আইপিএস গুরু (যদি না আপনি বিক্রেতাকে লক-ইন পছন্দ করেন)
  • 24/7/365 স্টাফ বিশেষজ্ঞরা ডিজাইন করা সিস্টেমগুলি থেকে উত্পন্ন সতর্কতাগুলি পর্যবেক্ষণ করতে। এই লোকেরা সস্তা নয়, তারা বিলিং প্লাগটি টানতে বা আপনি যে অ্যালগরিদমে ব্যবহার করেন তাতে কোনও বাগ রিপোর্ট করার সিদ্ধান্ত নেন।

এবং তারপরে আবার, আপনি বেশ কিছুটা সস্তাভাবে তৃতীয় পক্ষের কাছে এগুলি অফলোড করতে পারেন।

টিম পোস্ট
সূত্র
হুম, আমরা ইতিমধ্যে সেখানে অর্ধেক হয়েছি কারণ আমরা আমাদের ক্লায়েন্টদের পক্ষে সংবেদনশীল তথ্য নিয়ে ডিল করি (ডিএমজেডে লকড সার্ভার এবং অনুপ্রবেশ সনাক্তকরণ এবং আইপিএসেক ইতিমধ্যে রয়েছে)। আমি একটি ভাল পড়া হবে, ধন্যবাদ।
মার্ক হেন্ডারসন
@ ফারসিকার - অবৈধ অ্যাক্সেস প্রতিরোধের বাইরে, সবচেয়ে গুরুত্বপূর্ণ অংশটি এটি সনাক্ত করা এবং কীসের সাথে আপস করা হয়েছে এবং কাকে খুব দ্রুত অবহিত করা দরকার তা নির্ধারণ করা। দ্রষ্টব্য, এর মধ্যে সেই ফাইলগুলির অননুমোদিত অনুলিপিও অন্তর্ভুক্ত থাকবে যা ডাটাবেসকে ব্যাক করে দেয়।
টিম পোস্ট
5
আপনি এখনই ক্রেডিট কার্ডের ডেটা হ্যান্ডেল করছেন, আপনি এটি স্থায়ীভাবে সংরক্ষণ করছেন না এমনকি, এর অর্থ আপনার পিসিআই ডিএসএস মেনে চলতে হবে।
স্টিফেন জেনিংস
@ স্টিফেন - পিসিআইয়ের কথা বলা হ্যান্ডলিং এবং স্টোর করা সম্পূর্ণ আলাদা জিনিস। হ্যান্ডলিংয়ের অর্থ কেবল একটি গেটওয়েতে কিছু তথ্য পোস্ট করা এবং প্রতিক্রিয়ার জন্য অপেক্ষা করা। সংরক্ষণের কীটগুলির নিজস্ব অনন্য ক্যান।
টিম পোস্ট
পিসিআই ডিএসএস প্রয়োজনীয়তা ৩.২ নির্দেশ করে যে এনক্রিপ্ট করা থাকলেও ট্র্যাক এবং যাচাইকরণ কোড অনুমোদনের পরে সংরক্ষণ করা যাবে না এবং এতে ডাটাবেসের জন্য লেনদেন লগ সহ সমস্ত লগ রয়েছে includes
লেইফ রিফেল
23

ক্রেডিট কার্ডের বিশদটি কখনও সংরক্ষণ করা ভাল ধারণা নয় । আপনি কেবল একটি পতনের জন্য নিজেকে সেট আপ করছেন, কোনও শালীন পেমেন্ট গেটওয়ে আপনাকে এমন একটি টোকেন দিয়ে পুনরাবৃত্ত লেনদেন করার অনুমতি দেবে যেখানে আপনাকে ক্রেডিট কার্ডের বিশদ সংরক্ষণ করতে হবে না।

ঝাঁটা
সূত্র
3
আপনার ডেটাবেজে সিসি কখনও সংরক্ষণ না করার ধারণার জন্য +1 করুন। আমাদের পেমেন্ট গেটওয়ে সরবরাহকারী এখন সেই সমস্ত তথ্য সঞ্চয় করে, যা আমাদের সুরক্ষা এক্সপোজারের জন্য একটি বিশাল ত্রাণ।
মিলনার
একটি উদাহরণস্বরূপ, এক ধরনের নৈবেদ্য Authorize.net গ্রাহক তথ্য ম্যানেজার (Cim) হল authorize.net/solutions/merchantsolutions/merchantservices/cim এবং যেহেতু আবর্তক বিলিং অটোমেটেড আবর্তক বিলিং (ARB) উল্লেখ করা হয়েছে authorize.net/solutions/merchantsolutions/merchantservices/ … আপনি এগুলি সংরক্ষণ করতে পারেন তবে তারা কখনই নিরাপদ হতে পারবেন না। পরিশেষে আপনি পরিষেবাগুলি কীভাবে আপনার খ্যাতি, হারানো বিক্রয়, আপনার প্রসেসরের কাছ থেকে জরিমানা এবং ডেটা আপোস থেকে আসে এমন কোনও মামলা মোকদ্দমা ব্যয় করতে হবে।
ফায়াসকো ল্যাবগুলি
13

পেমেন্ট কার্ড ইন্ডাস্ট্রিজ কমপ্লায়েন্স গাইড ওয়েবসাইটে আপনার সন্ধান করা অনেক উত্তর পাওয়া যাবে । তাদের লিঙ্ক পৃষ্ঠাটি বিশেষভাবে দরকারী।

তৃতীয় পক্ষের এই স্টোরেজটি পরিচালনা করতে দেওয়া সবচেয়ে ভাল পরামর্শ।

Bryson না
সূত্র
আমি কয়েক বছর ধরে এই পিসিআই জিনিসটি প্রায় ছড়িয়ে ছিটিয়ে দেখেছি, এটি আসলে কী তা কখনই ধারণা ছিল না। ধন্যবাদ।
মার্ক হেন্ডারসন
8

আপনার তৃতীয় পক্ষের বণিক কি কন্টিনিউজ ক্রেডিট কার্ড পেমেন্টের বিকল্প অন্তর্ভুক্ত করে না - এখানে যুক্তরাজ্যের বেশিরভাগ বড়রা অবশ্যই করেন (ডাটাক্যাশ, আরবিএস ওয়ার্ল্ড পে ইত্যাদি)।

মূলত, আপনি একবার তাদের কাছে কার্ডের বিবরণ জমা দিয়েছিলেন, সিসিসি কর্তৃপক্ষের (যা, যদি আমি সঠিকভাবে প্রত্যাশিত সময়সূচী এবং নিয়মিত পরিমাণ অন্তর্ভুক্ত করার প্রয়োজন মনে করি) অনুরোধ করে, এবং তারপরে আপনি তাদের থেকে একটি টোকেন ফিরে পান। তারপরে প্রতি মাসে / আপনি টোকেন দিয়ে বণিককে যা কিছু পোল করেন এবং তারা আপনার জন্য পরবর্তী লেনদেনগুলি প্রক্রিয়া করে - সাধারণত এগুলি ভেরিয়েবল, অ্যাড-হক অনুরোধের জন্য সেট আপ করার সুবিধাও রয়েছে। আপনার শেষের মূল প্রয়োজনটি হ'ল পেমেন্ট নেওয়ার আগে গ্রাহককে (সাধারণত কমপক্ষে 10 দিন) অবহিত করা।

এইভাবে, আপনি কোথাও সিসি বিশদ বিবরণ সংরক্ষণ করছেন না, এটি সমস্ত লোকেরা যা প্রয়োজনীয়তা পূরণ করেছে তাদের দ্বারা পরিচালিত।

এটি কোনও কার্ডে প্রাক-অনুমোদন করার অনুরূপ, তাই আপনাকে কখনই ক্রেডিট কার্ড সংরক্ষণ করতে হবে না, বণিকের কেবলমাত্র একটি টোকেন যা আপনি প্রয়োজন হিসাবে কল করতে পারেন।

Haাফ - বেন দুগুয়েড
সূত্র
4

আমাদের সেগুলি সংরক্ষণ করতে হবে এবং আমার নিশ্চিত হওয়া দরকার যে সঞ্চয়টি নিরাপদ!

একটি প্রশ্ন: কেন?

আমি কেবল এটিই জিজ্ঞাসা করি কারণ আমাকে নিজেরাই পিসিআইয়ের সাথে ডিল করতে হবে এবং এটি চালিয়ে যাওয়া ব্যথা। যদিও আমার প্রতিদিনের কাজটি আমাদের পিসিআই কমপ্লায়েন্সের জন্য সর্বনিম্নতম রেঞ্জ হিসাবে যোগ্য করে তোলে, এখনও এর মধ্যে অনেক কিছুই রয়েছে। এনক্রিপশন, সর্বনিম্ন সুবিধার বিবেচনা, সার্ভার ওএস সুরক্ষা, অভ্যন্তরীণ নেটওয়ার্ক সুরক্ষা, সীমান্ত সুরক্ষা, তৃতীয় পক্ষের নিরীক্ষণ ... এগুলি চালিয়ে যাওয়া অনেক কিছুই। এবং এটি আমাদের সাথে ক্রেডিট কার্ডের তথ্যও সংরক্ষণ না করে!

(সিডিনোট: আপনি যদি ই-বাণিজ্য করছেন, আপনি সিসি ডেটা সংরক্ষণ না করেও আপনাকে পিসিআই অনুগত হতে হবে। আপনি যদি এখন অভিযোগ না করেন তবে নিজেকে ভাগ্যবান মনে করুন এটি আপনাকে এখনও কামড় দেয় না))

আপনার প্রসেসর এটি পরিচালনা করে দেখুন। আমরা Authorize.net ব্যবহার করি এবং এগুলির একটি দুর্দান্ত এপিআই রয়েছে যাতে আমরা আমাদের নিজস্ব কাস্টম ফ্রন্ট-এন্ড তৈরি করতে পারি তবে তারা প্রকৃত অর্থ প্রদানগুলি সংরক্ষণ এবং সংরক্ষণের যত্ন নেয়। যদি আমরা পুনঃক্রেরিং বিলিং সেট আপ করতে চাইতাম তবে তাদের কাছে তথ্য সংরক্ষণের ব্যবস্থা রয়েছে। সত্যি বলতে, আমি নিজের উপর যত বেশি বিশ্বাস করি তার চেয়ে বেশি তাদের বিশ্বাস করি।

dragonmantank
সূত্র
4

অন্যান্য লোকেরা যেমন উল্লেখ করেছে, আপনি পিসিআই-ডিএসএসের সন্ধান করছেন। এছাড়াও অন্যান্য লোকেদের হিসাবে উল্লেখ করা হয়েছে, ছোট ছোট সাইটের জন্য কমপ্লায়েন্স নিষিদ্ধ হিসাবে ব্যয়বহুল হতে পারে।

তাদের সাবস্ক্রিপশনগুলি ব্যবহার করতে পেপালে সরানো কোনও বিকল্প নয়। আমাদের সেগুলি সংরক্ষণ করতে হবে এবং আমার নিশ্চিত হওয়া দরকার যে সঞ্চয়টি নিরাপদ!

আপনি স্থানীয়ভাবে একটি আইডি সঞ্চয় করতে পারেন যা আপনার অর্থ প্রদানের গেটওয়েতে গ্রাহকের ক্রেডিট কার্ডের তথ্য সনাক্ত করে। আমি নিশ্চিত নই যে পেপাল এই বিকল্পটি সরবরাহ করে তবে অন্যান্য পেমেন্ট গেটওয়েগুলিও এটি করে।

এও মনে রাখবেন যে আপনি ক্রেডিট কার্ডের ডেটা ডিস্কে সঞ্চয় না করলেও আপনি কিছু পিসিআই-ডিএসএস প্রয়োজনীয়তার সুযোগ পাচ্ছেন। মেনে চলার সহজতম উপায় হ'ল কোনও সিসি ডেটা না নেওয়া (যেমন: পেমেন্ট ফর্মটি সরাসরি পেমেন্ট গেটওয়েতে পোস্ট করে)।

থিয়াগো ফিগুয়েরো
সূত্র
3

Http://chargify.com/ এর মতো পরিষেবাগুলি বিদ্যমান পেমেন্ট গেটওয়েগুলির উপরে একটি অতিরিক্ত স্তর সরবরাহ করে। তারা সম্ভবত আপনার জন্য ক্রেডিট কার্ড সংরক্ষণ করার, পুনরাবৃত্ত অর্থ প্রদানের বাস্তবায়ন এবং এমনকি আপনার জন্য প্রতিবেদন তৈরির বিভিন্ন ধরণের উপায় সরবরাহ করবে।

এটি আপনাকে পুরো দায় এবং পিসিআই কমপ্লায়েন্স ইস্যুটি থেকে দূরে রাখতে দেয়। আমার একটা উদ্বেগ হ'ল, যদি একদিন আপনি বিক্রেতা, বণিক অ্যাকাউন্ট বা গেটওয়ে পরিবর্তন করতে চান। আপনি কীভাবে আপনার 10,000 গ্রাহককে সাথে রাখবেন? তারা কি ক্রেডিট কার্ডের একটি ডাটাবেস হস্তান্তর করে? প্রতিযোগীর সাথে কাজ কি ক্রেডিট কার্ডের তথ্য সরিয়ে নেবে?

আমি এটাকে সন্দেহ করি. আপনি যদি সরবরাহকারী পরিবর্তন করেন তবে আপনার সমস্ত গ্রাহকদের তাদের বিলিং তথ্য পুনরায় জমা দিতে বলার সম্ভাবনা রয়েছে। ক্রেডিট কার্ডের তথ্য নিজে সংরক্ষণ করার পক্ষে এটি একটি ছোট যুক্তি। আপনার যদি প্রচুর গ্রাহক এবং প্রচুর উপার্জন করতে চলেছেন তবে সম্ভবত এটি মূল্যবান। আমি এই বিশেষ প্রবণতা সম্পর্কে অন্যান্য লোকের ভাবনা শুনতে খুব আগ্রহী হব।

zaqintosh
সূত্র
এটি একটি খুব ভাল পয়েন্ট, আমি এটি সম্পর্কে চিন্তা ছিল না। আমরা প্রায় ৫-6 বছর ধরে সিকিউরপে ব্যবহার করে আসছি এবং তাদের নিয়ে কোনও উদ্বেগ ছিল না, তাই আমি মনে করি আমরা তাদের সাথে লেগে থাকব তবে ভবিষ্যতে কী আছে তা কে জানে ...
মার্ক হেন্ডারসন
2

আমার কাছে এখনও মন্তব্য করা বা মন্তব্য করার মতো পর্যাপ্ত প্রতিনিধি নেই, সুতরাং এটি একটি নতুন উত্তরে চলেছে। Phাফ যেমন উল্লেখ করেছে , অনেক বণিক সংস্থাগুলি একটি পুনরাবৃত্তি প্রদানের ব্যবস্থা দেয় যেখানে তারা আপনার জন্য সঞ্চয়স্থান পরিচালনা করে।

আমরা কোনও গ্রাহক পেপাল ব্যবহার করতে অনিচ্ছুকদের জন্য অথরিজিট নেট ব্যবহার করে চলেছি এবং এটি মোটামুটিভাবে ভালভাবে কাজ করছে (আমাদের একমাত্র বড় অভিযোগ হ'ল প্রতি 6 মাসের মধ্যে এপিআই কী রিসেট হয় এবং এটি হওয়ার পরে তারা আপনাকে অবহিত করার জন্য বিরক্ত করে না, তাই পৃষ্ঠাটি কেবল কাজ করা বন্ধ করে)। তাদের এপিআইটি এক্সএমএল ভিত্তিক এবং আপনি প্রায় প্রতিটি ভাষায় এর জন্য মোড়ক পেতে পারেন।

ChiperSoft
সূত্র
1

মনে রাখবেন যে আপনি যদি ক্রেডিট কার্ডের তথ্য আপনার নিজের ডিবিতে সঞ্চয় করার সিদ্ধান্ত নেন তবে আপনার কোনও অবস্থাতেই 3 ডিজিটের কার্ড সুরক্ষা কোড সংরক্ষণ করা উচিত নয় । কার্ড সমিতিগুলির দ্বারা এটি করা কঠোরভাবে নিষিদ্ধ।

বিটিডাব্লু, লেনদেন করার জন্য আপনার কার্ডের সুরক্ষা কোডের দরকার নেই। এটি জালিয়াতি সনাক্তকরণের হারকে উন্নত করে, তবে গ্রাহকের সাথে যদি আপনার চলমান সম্পর্ক থাকে তবে আপনার এটির দরকার হবে না। (এবং আপনার নিজের প্রয়োজন মনে হলেও আপনি এটি সংরক্ষণ করতে পারবেন না what যাই হোক না কেন)

তথ্য সংরক্ষণ না করার জন্য আমি অন্যান্য সুপারিশগুলিকেও দ্বিতীয় করে দিয়েছি। অনুমোদন.নেটের গ্রাহক তথ্য ম্যানেজারটি ব্যবহার করা সহজ এবং সস্তা। আপনার নিজের সার্ভারে তথ্য সংরক্ষণের ক্ষেত্রে পিসিআই ব্যয় বহন করার পরিবর্তে এটি ব্যবহার করা আপনার পক্ষে অনেক বেশি সস্তা হবে।

ল্যারি কে
সূত্র
1

আপনি যদি আপনার ডাটাবেসে ক্রেডিট কার্ড সঞ্চয় করতে চলেছেন তবে এনক্রিপশন কী। আপনার সিস্টেমে চলাফেরা অব্যাহত রয়েছে তা নিশ্চিত করার জন্য আপনি তৃতীয় পক্ষের রুটিন কমপ্লায়েন্স টেস্ট করানোর (বা সম্ভবত প্রয়োজন )ও চাইবেন।

মিলনার
সূত্র
5
তবে আপনার ডাটাবেসে সিসি সংরক্ষণ করবেন না। না।
ডিমো 414
এনক্রিপশন কেবল শুরু। আপনার প্রযোজ্য SAQ ( স্বতঃ মূল্যায়ন প্রশ্নোত্তর) pcisecuritystandards.org/merchants/self_assessment_form.php ডাউনলোড করুন এবং ডাটাবেস এনক্রিপশন প্রয়োজনীয়তা তালিকার একেবারে নিচে থেকে বের করা শুরু করুন। ক্রেডিট কার্ডের শংসাপত্রগুলি ফাঁস করার অনেকগুলি উপায় রয়েছে যা আপনি ক্রেডিট কার্ড স্টোরেজের সাথে সম্পর্কিতও স্পর্শ করেননি।
ফায়াসকো ল্যাবগুলি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.