Можно ли хранить данные кредитных карт на сервере?

Question

[Александр Маслов]

Например, для того, чтобы выводить на них деньги пользователям? Если нельзя - то почему и где об этом можно почитать? Какие могут быть потенциальные проблемы? Есть ли разница, хранить данные на сервере в РФ или за пределами?

Answer 1

[Андрей]

Без всяких проблем вы можете хранить и обрабатывать только маску PAN.
Если вы хотите хранить полные данные карт (без cvc, cvv - это хранить никто не разрешит, даже с сертификатом) вам нужно иметь сертификат PCI DSS.
Хранить данные вы можете так же только в определенных местах - есть специализированные под это дело хостинги, но они стоят не малых денег. В России таких хостеров нет.

Прохождение сертификации огромный (простите) геморой. Во-первых это так же стоит денег (100+ т.р.), во-вторых ваше приложение будет подвергнуто атакам и проверенно на все возможные уязвимости, вы должны логировать все действия пользователей и куча всего прочего. Плюс ко всему, если вы заваливаете прохождение сертификации, то повторное прохождение так же платно.

Гуглить про pci dss

Comments

[Александр Маслов]

А что со мной будет, если я буду хранить без прохождения PCI DSS?

[GremniX]

Ничего, пока этого кто-то не заметит. Но если не дай бог данные утекут, к вам придет ваш платежный провайдер и есть шанс заполучить нехилый штраф в лучшем случае, а в худшем Visa и Master Card внесут компанию в черный список и больше никаких платежей по картам вы принимать не сможете.

[Александр Маслов]

@GremniX Так мы деньги снимать с них не хотим :) Только выводить на них. А принимать платежи через нормального эквайра.
// Вообще, со времени появления вопроса нашлось уже несколько сервисов с массовыми выплатами - payeer.com, paysto.com, money.yandex.ru, payanyway.ru, так что уже не так актуально, но по прежнему интересно.

Answer 2

[v_prom]

Поищите законы о хранении личных данных. Скорее всего можно, только с согласия пользователей.