Considerações de TI para aplicativos da Web Lidando com pagamentos on-line? [fechadas]

Navegue suas respostas
1

Estou iniciando um projeto no qual determinados usuários fornecerão seus números de cartão de crédito para pagamentos on-line. Eu sei como lidar com o lado de aplicativos da Web, no entanto, gostaria de obter conselhos sobre quais deveriam ser as considerações de TI para manter esses servidores.

Para começar, acho que prefiro manter os servidores internos e não usar nenhuma solução de nuvem. Mas o que além disso? Quais são as recomendações para firewalls ou equivalentes? Outros sistemas para instalar? Outras boas práticas?

Muito obrigado.

    
por Roee Adler 27.05.2009 / 14:12

4 respostas

7

Existem regulamentações em torno disso, a saber, o PCI-DSS, que você precisa conhecer. Ele fala sobre os requisitos mínimos para proteção de rede, criptografia em toda a linha de transação (SSL, banco de dados, etc.). Também são descritas medidas de segurança, como firewalls, IDS, cronogramas de patches, etc.

Acho que uma solução melhor seria usar uma solução hospedada de um processador de pagamento. Dessa forma, sua exposição é muito mais limitada, pois a empresa que lida com os pagamentos armazenará dados confidenciais e poderá diminuir sua exposição (um ID de transação genérico é menos valioso do que um número de cartão de crédito).

Se o projeto não exigir o armazenamento das informações confidenciais de pagamento, eu veria uma solução hospedada. Provavelmente vai compensar melhor a longo prazo.

    
por 27.05.2009 / 14:18
1

Embora isso não seja um conselho prático, você deve estar ciente da conformidade com o PCI .

    
por 27.05.2009 / 14:15
1

A maneira padrão de lidar com transações com cartão de crédito é autorizá-lo através de seu banco ou centro de autorização de cartão de crédito. De uma maneira padrão, você não obtém os dados do CC (assim, não precisa se preocupar com a segurança), você só obtém o token de autorização exclusivo.

esquema de venda CC http://www.virtualschool.edu/mon/ElectronicProperty/klamond/CCARD16. gif

    
por 27.05.2009 / 15:00
1

Use SSL para criptografar todo o pipeline. A menos que absolutamente necessário, não armazene números de cartão de crédito em seu banco de dados. Você deve usar um gateway de pagamento, como o Authorize.net, para processar as transações. Cada transação receberá um ID de transação e isso deve ser registrado em seu banco de dados, porque não é uma informação confidencial ou de alto valor.

Uma coisa a ser cautelosa é o registro de erros. Eu uso o ELMAH para o registro de erros e descobri que, se alguém acertar um erro na página em que está inserindo as informações do cartão, essas informações do cartão serão registradas como parte dos valores HTTP POST.

    
por 27.05.2009 / 15:07

Tags

Small Business Server como controlador de domínio ReadOnly Melhor maneira de mover a configuração do apache e mysql para o novo servidor?