上記のように、クレジットカード情報をデータベースに保存しないでください。トラブルのレシピです。そうすることで、ハッカーにとって非常に魅力的な標的になり、ハッカーがそれらを取り戻すことに成功した場合、あなたのビジネスを終わらせ、あなたの人生とクレジットカード番号が盗まれた人々の人生を台無しにする可能性があります。
そうは言っても、考慮すべき3つのことがあります。
1)最善の策は、定期的な請求を提供する支払い処理業者/支払いゲートウェイを使用することです。この例は、Authorize.Netの自動定期請求 です。 サービス。サブスクリプションを設定すると、毎月自動的にユーザーに請求が行われ、トランザクションの結果が通知されます。それはあなたにたくさんの仕事を節約し、クレジットカード情報を保存する責任からあなたを解放します。
2)店舗のクレジットカード番号を保管する場合は、PCIガイドライン に従う必要があります。 。これらのガイドラインは、ペイメントカード業界によって設定され、実行できることと実行できないことを定義します。また、クレジットカード情報の保存方法も定義します。クレジットカード番号を暗号化する必要があります。また、関連情報(有効期限など)を暗号化する必要がありますが、暗号化する必要はありません。また、Webサーバーとネットワークが安全であることを確認する必要があります。 PCIコンプライアンスを満たさない場合、マーチャントアカウントが失われ、真のマーチャントアカウントを持つことが永久に禁止されます。そのため、柔軟性の低いサードパーティ製のプロセッサを使用することに制限されます。 PCIガイドラインは良いスタートですが、オンラインセキュリティに関しては「ハウツー」ではないことを覚えておいてください。あなたの目標は、推奨値を(大幅に)超えることです。
3)州および国固有の法律がPCIコンプライアンスに優先します。違反が発生し、クレジットカード番号が盗まれた場合、刑事訴追のリスクがあります。法律は州ごとに異なり、議員はこれがどれほど深刻な問題であるかを認識し始めたばかりであるため、常に流動的です。
暗号化に関しては、どの暗号化アルゴリズムが安全で、まだ破られていないかを確認してください。 Blowfish これは良いスタートであり、PHPを使用する場合は、mcryptライブラリ 推奨されます(例 。