Ich erstelle eine App, die Kreditkartenzahlungen mit einem aktiven Händler akzeptieren muss. In Bezug auf die Sicherheit ist es möglich, dass es auf heroku lebt und authorize.net (oder ähnlich) als Zahlungs-Gateway?
Was ist, wenn die Kreditkartennummern gespeichert werden müssen?
Bearbeiten
Würde Benutzer nicht an authorize.net weiterleiten.
Die einfache Antwort ist ja, ich glaube schon, aber davon hängt es ab.
Sie können Umgebungsvariablen für verschiedene Schlüssel und andere Werte im Zusammenhang mit dem Third-Party-Service ( Ссылка ) oder einfach festlegen checken Sie sie ein und stellen Sie sie bereit.
Wenn Sie den gehosteten Zahlungsdienst für authorize.net verwenden und auf ihre Website weiterleiten, benötigen Sie selbst keine SSL. Wenn Sie das Formular hosten, in dem die Kreditkartennummer und persönliche Daten angegeben sind, und diese an authorize.net über ihre API auf dem Server weiterleiten, müssen Sie ssl for heroku einrichten ( Ссылка ), damit Ihr Formular sicher ist.
Jetzt ist es eine Sache, die Zahlung per Kreditkarte zu akzeptieren und sie einfach zu übergeben, es ist eine andere, Kreditkartennummern und andere private Informationen zu speichern. Ohne auf verschiedene Sicherheitsstandards zu verweisen (hier gilt PCI DSS), werde ich einfach sagen, dass, wenn Sie CC-Nummern und damit verbundene persönliche Informationen nicht unbedingt speichern müssen, Sie einfach zum Gateway weiterleiten und sicherstellen, dass Sie nicht sind diese Felder werden protokolliert ( Ссылка ). Wenn Sie Kreditkartendaten speichern müssen, müssen Sie die Datenbank und den Server besser kontrollieren, um die Compliance zu erreichen, und ich kenne keinen allgemeinen Cloud-Host wie AWS oder Heroku, den Sie verwenden können, um dies zu tun (vielleicht einige andere SO Benutzer werden mich korrigieren). Mit einem Zahlungs-Gateway wie authorize.net können Sie jedoch dorthin gelangen.
Ich werde auch darauf hinweisen, dass verschiedene Staaten nun Gesetze zum Speichern sensibler Daten haben (wie MA, wo ich lebe), also ein weiterer Grund, dies zu vermeiden, es sei denn, es ist für Ihr Geschäftsmodell essentiell.
Für eine etwas veraltete, aber gute allgemeine Diskussion über die Einhaltung der PCI siehe hier: Ссылка
Tags und Links security heroku authorize.net activemerchant