Fatal编程技术网
  • php/
  • Php 收集信用卡信息,安全?

Php 收集信用卡信息,安全?

php mysql

Php 收集信用卡信息,安全?,php,mysql,Php,Mysql,我们已经创建了一个门户网站,用户可以通过我们的网站在线支付 我们为用户创建了一个选项,用户可以选中“复选框”将其详细信息保存到自己的帐户中,以便下次可以轻松付款 将信用卡详细信息保存到mySQL数据库的最佳方法是什么?我希望它是安全的,我不想单纯地将他们的详细信息保存到一个字段“XXXXXXXXXXXXXX” 保存信用卡详细信息最安全的方法是什么?当网站上线时,我们将在服务器上安装SSL 关于您不应存储抄送详细信息,除非是严重屏蔽的“XXXX XXXX XXXX 1234”类型格式,并且您不允许

我们已经创建了一个门户网站,用户可以通过我们的网站在线支付

我们为用户创建了一个选项,用户可以选中“复选框”将其详细信息保存到自己的帐户中,以便下次可以轻松付款

将信用卡详细信息保存到mySQL数据库的最佳方法是什么?我希望它是安全的,我不想单纯地将他们的详细信息保存到一个字段“XXXXXXXXXXXXXX”

保存信用卡详细信息最安全的方法是什么?当网站上线时,我们将在服务器上安装SSL

关于

您不应存储抄送详细信息,除非是严重屏蔽的“XXXX XXXX XXXX 1234”类型格式,并且您不允许存储CVV编号

您可以存储的是从您的支付处理器转换的交易ID,您可以从中查找他们存储的CC号码副本。这就免除了您的系统安全问题,您可以存储一个CC号码(这是一项巨大的任务),并将安全开销的责任放在处理器的头上

SSL与保护数据库无关,SSL连接只在HTTP事务打开后才存在,然后就消失了。您需要在服务器和数据库上始终保持100%的安全性

我建议获得的副本,其中详细说明了不同级别的信用卡处理/处理的要求。

加密(双向) 如果你真的要储存这些信息,我认为你应该有一些适当的方法。但老实说,我不是一个安全专家,我所赞扬的也可能是不安全的

如果您可以避免将此类信息存储在服务器上,您应该这样做。句号就像其他人提到的,甚至杰夫·阿特伍德(Stackoverflow作者)也会给你建议。你可能会受到威胁,然后这些信息可以在互联网上免费获得。你是怎么付款的?你不是在使用paypal之类的东西,这样用户就不用输入这些信息了吗?

查看Mark B链接的pci要求

在我最近的一份合同中,我与一个政府部门合作,尽管我与pci合规性无关,但我知道它的成本超过了100万美元。你当然不需要花那么多钱。但这是一个警告

如果您在共享平台上操作,我只能重复别人说过的话,并说不要存储以供重复使用。事实上,在一个共享平台上,无论存储的是什么卡的详细信息,收取款项都可能是不明智的

至少你需要一个虚拟机,如果不是防火墙后面的专用盒子,数据库应该在一个单独的服务器上,这个服务器是防火墙的,并且只用于数据库

永远不要忘记你的主机提供商可以访问这个盒子,一个糟糕的工作人员,你就有麻烦了。或者至少你的持卡人是,如果他们能追查到你,你应该承认有违规行为,那么你就有麻烦了

如果你必须的话。然后存储所有其他内容,但每次都让用户输入信用卡。别忘了过期日期会改变。因此,您将需要让用户更新,所以为什么不再次获取整数

如果您规定“不存储卡详细信息”,您的客户可能会对您更加友好

DC

最简单的方法是不要。将付款留给第三方,如Paypal或Google Checkout。我相信你必须在美国获得认证,才能将信用卡的详细信息保存到公共网站的数据库中。最安全的方法是什么?不要!第二个最安全的:加密。我们不使用Paypal或Google Checkout,我必须研究我们的网关建议,因为它是我们使用的托管支付网关。这在任何方面都没有帮助。我在过去(PCI之前)自己做过支付处理,我可以告诉你,有很多理由不使用第三方处理器(除了有时高昂的费用)。@DeveloperChris你不应该存储该信息。附言:我提供了我认为可能的解决方案。根据@Earlz的说法,如果你没有获得认证或其他什么,在美国境内甚至是被禁止的。我没有说把我说的信息存储起来,而不是直接交给第三方支付处理器(如paypal),你可以自己支付,就像我过去做的那样。我不认为双向加密是兼容的,要使用它,密钥必须存储在服务器上,这使得加密毫无用处。因为黑客可以同时获得这两个组件。嗯,请注意,使用用户密码作为密钥的一部分进行双向加密可能有效。当然,前提是您不以明文形式存储用户密码。PCI标准是一个很好的起点。存储卡的详细信息是一个非常糟糕的主意,即使是加密的。在整个数据生命周期中,要做到正确和保持安全实在太难了。这是错误的,或者时间变了,或者可能是因为他们是政府部门,所以是100万。我知道有几种符合PCI SAQ-D的(最高和最严格的PCI合规性级别)可以为您处理服务器和安全问题,然后您只需要使用加密和其他方式安全地存储卡数据。总的来说,最高800美元/m@Nimbuz你说的是每月向已经认证的第三方提供商支付800美元。不是为了自己获得法规遵从性,他们为此付出了什么代价?我的意思是这可能会花很多钱。也许没有政府Dpt那么多,但大多数人无论如何都负担不起每月800美元。我的大部分评论都是关于不这样做(存储编号),特别是在低成本的共享环境中。它甚至还不到800,我只是在一个符合SAQ-D的私有云中购买了一台虚拟vmware服务器,价格为360/月。你是对的,你自己做这件事要花很多钱,但你不一定非得这么做。我的意思是,几乎每个网站、博客和讨论板上的每个人都说它太贵、太复杂等等。。哪个是n