处理在线支付的 Web 应用程序的 IT 注意事项?

处理在线支付的 Web 应用程序的 IT 注意事项?

我正在启动一个项目,其中某些用户将提供他们的信用卡号以进行在线支付。我知道如何处理 Web 应用程序方面的问题,但是我想获得有关维护此类服务器的 IT 注意事项的建议。

首先,我想我宁愿将服务器保留在内部,而不使用任何云解决方案。但除此之外还有什么呢?对防火墙或同等产品有什么建议?要安装的其他系统?其他最佳实践?

非常感谢。

答案1

您需要了解与此相关的一些规定,即 PCI-DSS。它讨论了网络保护、跨交易线路加密(SSL、数据库等)的最低要求。此外,还概述了防火墙、IDS、修补计划等安全措施。

我认为更好的解决方案是使用支付处理器提供的托管解决方案。这样,您的风险暴露就会受到很大限制,因为处理支付的公司会存储所有敏感数据,这样您就可以减少风险暴露(通用交易 ID 的价值不如信用卡号)。

如果项目不需要存储敏感的支付信息,那么我会考虑托管解决方案。从长远来看,它可能会带来更好的回报。

答案2

虽然这不是实用的建议,但你应该知道PCI 合规性

答案3

使用 SSL 加密整个管道。除非绝对必要,否则请勿将信用卡号存储在数据库中。您应该使用支付网关(例如 Authorize.net)来处理交易。每笔交易都会收到一个交易 ID,并且应该将其记录在您的数据库中,因为它不是高价值或机密信息。

需要注意的一件事是错误日志记录。我使用 ELMAH 进行错误日志记录,发现如果有人在输入卡信息的页面上遇到错误,该卡信息将作为 HTTP POST 值的一部分记录下来。

答案4

处理信用卡交易的标准方式是通过银行或信用卡授权中心进行授权。在标准方式中,您不会获得 CC 的数据(因此您不必担心其安全性),您只会获得唯一的授权令牌。

CC 销售架构
(来源:虚拟学校

相关内容