存储信用卡信息

Question

所以我知道有很多关于存储信用卡信息的帖子.我们正在构建一个移动应用程序,并希望人们能够输入一次卡片信息,而不是每次购买.

我们查看了Authorize.net CIM,它似乎是一个理想的解决方案(我们只存储一个返回信用卡号的个人资料ID或令牌)......但它可能达不到我们的需求,因为信用卡信息不是由authorize.net处理(必然),但我们也通过任何商家帐户处理付款.换句话说,我们希望存储信用卡信息,如钱包......不一定每次都与Authorize.net一起处理.

阅读CIM XML文档(p.94),看起来getCustomerPaymentProfileResponse掩盖了信用卡返回数据...所以我不知道如果数据被屏蔽,这对处理有什么用呢？

我们确实有其他一些实施方案,但我真的希望有一种基于网络的方式让客户管理他们的支付账户.有没有人知道存储信用卡数据的任何方法,可以根据需要调用这些数据传递给任何给定商家的处理器？

编辑4.28.2011 - 我正在用这个打墙.如果我们根本不存储信用卡信息,让客户输入然后通过它怎么办...我们如何安全地做到这一点？不存储它,传递HTTPS,在传输过程中加密卡数据？

Answer 1

可悲的是,没有简单的方法来实现这一目标.

如您所知,付款服务提供商将安全地存储卡详细信息,并返回令牌ID(以便您可以参考这些详细信息),但他们永远不会将原始卡详细信息返还给您.

这是因为PSP将符合PCI-DSS标准.合规性的一部分是确保卡片详细信息通过的任何地方(例如其他第三方)也符合PCI-DSS.如果他们允许将卡详细信息从保险库返回给客户端,那么他们需要确保客户端也符合PCI-DSS(这几乎会使客户使用支付服务提供商失败!) .

因此,您的选择是:
- 通过PCI-DSS合规性,以便您可以自己安全地存储卡详细信息.
- 将卡详细信息存储到您与之互操作的每个支付服务提供商,并存储每个支付服务提供商的退回代币.