Передача и хранение CVV2, CARDHOLDER для бронирования гостиницы?

Как организовать на сайте прием реквизитов банковской карты для бронирования гостиницы? (#, cardholder, valid thru, cvv2)

Гостиница cможет по этим данным снимать оплату за проживание. Нужно получить и хранить (какое-то время, до месяца) эти данные с сайта, для предавторизации.


Как это сделать максимально безопасно, чтобы потом не было проблем ни у меня ни у гостиницы?


Если меня не дезиформировали в гостинице, то букинг.ком отправляет им эти данные по факсу(!) в открытом виде!


Нужен сертификат ssl? Как его получить? Какой проще получить? Как шифровать? Хранить у себя в mysql?
  • Вопрос задан
  • 4325 просмотров
Решения вопроса 2
@isden
Вообще, есть такая штука, как PCI DSS. Если место, где принимают данные кредиток, не сертифицировано, можно поиметь большие проблемы.
Посмотрите, например, вот здесь — www.braintreepayments.com/assets/308/PCI-Compliance.pdf
Ответ написан
qxfusion
@qxfusion
Нужно начать с основного:
(1) Ваша система должна соответствовать требованиям PCI DSS v2.0 — pcidss.ru/files/pub/pdf/pcidss_v2.0_russian.pdf
(2) CardHolder + Valid Thru — можно хранить, но требует защиты, CVV2 запрещено сохранять!
делайте все по стандарту — тогда и не будет проблем, они достаточно просты и понятно описаны в соответствующих докумнетах
(3) Если букинг.ком отправляет эти данные (1) по факсу (2) в открытом виде — то они ЯВНО нарушают требования PCI DSS и их за это ждут санкции
(4) Да — нужен обязательно — рекомендую брать один из 2 — (1) VeriSign или (2) TrustWave — у обоих есть сертификат для «PCI DSS Compliance»
(5) Купить — но потребуют официальные реквизиты организации
(6) По сложности одинаково — только разная стоимость
(7) Для этого есть стандарты
Шифрование данных — ANSI X9/ISO — AES или TDES
Управление ключами — ANS X9.24/ISO 11568 или SCD ANS X9.97/ISO 13491
PRGN — NIST SP800-22, NIST SP800-90A
Распространение ключей — X9/TR-34 Part1
Криптостойкость — ISO TR-147442
(8) Да, но не забывайте что для платежных данных Вы должны использовать отдельную БД и к ней должен быть мандатный доступ

Для Вас было бы проще принимать оплату через платежный шлюз (например Stripe.com) — т.к. чтобы принимать эти данные на своем сайте — нужно соответствовать значительному числу требований.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
shanker
@shanker
Нужен сертификат ssl? Как его получить? Какой проще получить? Как шифровать? Хранить у себя в mysql?

Однозначно нужен! Чтоб клиенты не боялись указывать на Вашем сайте столь чувствительную информацию. Об этом говорилось в статье Шесть способов завоевать доверие ваших покупателей

Как выбрать? А вот на хабре пара статей на тему:
Цифровые SSL сертификаты. Разновидности, как выбрать?
Как подобрать SSL-сертификат

Насчёт выбора шифра — помочь не могу, увы. Вопрос требует специалиста в этой области, чтоб выбрать наиболее оптимальный под конкретную задачу. Могу прикинуть, что слишком уж криптостойкие шифры выбирать не стоит — не такая задача, чтоб ресурсы сильно на это тратитьб. Можно какой-то потоковый выбрать. Вы на PHP сайт писать собираетесь или как? Для записи в mysql рекомендую подумать над применением хранимых процедур. Это более безопасно, чем в открытую
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы