Както бе споменато по-горе, не съхранявайте информация за кредитни карти в база данни. Това е рецепта за неприятности. Това ще ви направи много привлекателна цел за хакери и, ако успеят да ги извлекат, ще сложи край на бизнеса ви и потенциално ще съсипе живота ви, както и живота на тези, чиито номера на кредитни карти са откраднати.
След като казахме това, ето три неща, които трябва да имате предвид:
1) Най-добрият ви залог е да използвате процесор за плащане/шлюз за плащане, който предлага периодично таксуване. Пример за това е Автоматизираното периодично таксуване на Authorize.Net обслужване. След като настроите абонамента, те автоматично ще таксуват потребителя всеки месец за вас автоматично и ще ви уведомят за резултатите от транзакцията. Това ви спестява много работа и ви освобождава от отговорността да съхранявате информация за кредитна карта.
2) Ако съхранявате номера на кредитни карти, трябва да следвате указанията за PCI . Тези насоки са определени от индустрията за разплащателни карти и определят какво можете и какво не можете да правите. Той също така определя как трябва да се съхранява информацията за кредитната карта. Ще трябва да шифровате номерата на кредитни карти и трябва, но не се изисква да шифровате свързаната информация (дата на изтичане и т.н.). Освен това ще трябва да се уверите, че вашият уеб сървър и мрежа са защитени. Неспазването на съответствието с PCI ще доведе до загуба на вашия акаунт на търговец и ще ви бъде забранено да имате истински търговски акаунт завинаги. Това би ви ограничило до използването на процесори на трети страни, които са по-малко гъвкави. Имайте предвид, че насоките за PCI са добро начало, но едва ли са „как да“, когато става въпрос за онлайн сигурност. Вашата цел би била да надхвърлите препоръката (с много).
3) Законите, специфични за държавата и държавата, заменят спазването на PCI. Ако претърпите пробив и номерата на кредитни карти бъдат откраднати, рискувате наказателно преследване. Законите варират в различните щати и постоянно се променят, тъй като законодателите едва започват да осъзнават колко сериозен е този въпрос.
Що се отнася до криптирането, уверете се, че сте прочели кои алгоритми за криптиране са сигурни и все още не са разбити. Blowfish е добро начало и ако използвате PHP библиотеката mcrypt се препоръчва (пример ).
