处理在线支付的 Web 应用程序的 IT 注意事项？

Question 1

您需要了解与此相关的一些规定，即 PCI-DSS。它讨论了网络保护、跨交易线路加密（SSL、数据库等）的最低要求。此外，还概述了防火墙、IDS、修补计划等安全措施。

我认为更好的解决方案是使用支付处理器提供的托管解决方案。这样，您的风险暴露就会受到很大限制，因为处理支付的公司会存储所有敏感数据，这样您就可以减少风险暴露（通用交易 ID 的价值不如信用卡号）。

如果项目不需要存储敏感的支付信息，那么我会考虑托管解决方案。从长远来看，它可能会带来更好的回报。

Answer

您需要了解与此相关的一些规定，即 PCI-DSS。它讨论了网络保护、跨交易线路加密（SSL、数据库等）的最低要求。此外，还概述了防火墙、IDS、修补计划等安全措施。

我认为更好的解决方案是使用支付处理器提供的托管解决方案。这样，您的风险暴露就会受到很大限制，因为处理支付的公司会存储所有敏感数据，这样您就可以减少风险暴露（通用交易 ID 的价值不如信用卡号）。

如果项目不需要存储敏感的支付信息，那么我会考虑托管解决方案。从长远来看，它可能会带来更好的回报。

Question 2

虽然这不是实用的建议，但你应该知道PCI 合规性。

Answer

虽然这不是实用的建议，但你应该知道PCI 合规性。

Question 3

使用 SSL 加密整个管道。除非绝对必要，否则请勿将信用卡号存储在数据库中。您应该使用支付网关（例如 Authorize.net）来处理交易。每笔交易都会收到一个交易 ID，并且应该将其记录在您的数据库中，因为它不是高价值或机密信息。

需要注意的一件事是错误日志记录。我使用 ELMAH 进行错误日志记录，发现如果有人在输入卡信息的页面上遇到错误，该卡信息将作为 HTTP POST 值的一部分记录下来。

Answer

使用 SSL 加密整个管道。除非绝对必要，否则请勿将信用卡号存储在数据库中。您应该使用支付网关（例如 Authorize.net）来处理交易。每笔交易都会收到一个交易 ID，并且应该将其记录在您的数据库中，因为它不是高价值或机密信息。

需要注意的一件事是错误日志记录。我使用 ELMAH 进行错误日志记录，发现如果有人在输入卡信息的页面上遇到错误，该卡信息将作为 HTTP POST 值的一部分记录下来。

Question 4

处理信用卡交易的标准方式是通过银行或信用卡授权中心进行授权。在标准方式中，您不会获得 CC 的数据（因此您不必担心其安全性），您只会获得唯一的授权令牌。

_{（来源：虚拟学校）}

Answer

处理信用卡交易的标准方式是通过银行或信用卡授权中心进行授权。在标准方式中，您不会获得 CC 的数据（因此您不必担心其安全性），您只会获得唯一的授权令牌。

_{（来源：虚拟学校）}

相关内容