我想允许我的客户用户输入他们的信用卡信息,以便我可以每月向他们收费.
我想知道如何保存这些信息?
它应该保存在MySQL数据库("用户"表)中,还是这种信息过于敏感,需要存储在其他地方?
我没有这方面的经验,如果有人可以建议我如何实现这一点,我会很高兴.
谢谢.
我即将继承并在一个设计非常糟糕的小型企业零售网站上工作.除此之外,最受关注的是当前的信用卡处理.
目前,所有者从在线订单表格中检索信用卡信息(姓名,号码,CVV2和到期日期),并以明文形式将所有信息保存在MySQL数据库中.然后会将通知发送到他所订购的电子邮件中.此后,他有一个管理后端页面,他查看他用来与自己的商家离线处理的订单和信用卡信息.
从后端页面检索信息后,立即删除信用卡号和CVV2(自动调用PHP脚本).如果在7天内未访问该页面,也会删除该信息.因此,在事务处理之前,所有信息都有可能在数据库中以纯文本形式存在七天.
这似乎不是一个好的设计,可能是非法的.如果这是非法的,我将不得不打破这个,因为他还没有意识到这一点.
我的问题:除了不安全之外,这是非法还是违反使用条款(PCI DSS)?而且,如果是这样,我怎么能向他证明这一点,以便他允许我改变他的方式(显然,我不想把我的手放到非法的东西.而且,有时使用条款的措辞可以看似主观)?最后,解决此问题的最佳选择是什么(第三方在线商家,符合PCI DSS标准,还是别的什么)?