Như đã đề cập ở trên, không lưu trữ thông tin thẻ tín dụng trong cơ sở dữ liệu. Đó là một công thức cho rắc rối. Làm như vậy sẽ khiến bạn trở thành mục tiêu rất hấp dẫn đối với tin tặc và nếu chúng lấy được chúng thành công, hãy kết thúc công việc kinh doanh của bạn và có khả năng hủy hoại cuộc sống của bạn cũng như cuộc sống của những người bị đánh cắp số thẻ tín dụng.
Phải nói rằng, đây là ba điều cần xem xét:
1) Đặt cược tốt nhất của bạn là sử dụng bộ xử lý thanh toán / cổng thanh toán cung cấp thanh toán định kỳ. Ví dụ về điều này là Authorize.Net Thanh toán định kỳ tự động dịch vụ. Sau khi bạn thiết lập đăng ký, họ sẽ tự động lập hóa đơn hàng tháng cho người dùng một cách tự động và cho bạn biết kết quả của giao dịch. Nó giúp bạn tiết kiệm rất nhiều công việc và giảm bớt trách nhiệm lưu trữ thông tin thẻ tín dụng.
2) Nếu bạn lưu trữ số thẻ tín dụng của cửa hàng, bạn phải tuân theo nguyên tắc PCI . Các nguyên tắc này được đặt ra bởi ngành công nghiệp thẻ thanh toán và xác định những gì bạn có thể và không thể làm. Nó cũng xác định cách thông tin thẻ tín dụng phải được lưu trữ. Bạn sẽ cần mã hóa số thẻ tín dụng và nhưng không bắt buộc, mã hóa thông tin liên quan (ngày hết hạn, v.v.). Bạn cũng sẽ được yêu cầu đảm bảo rằng máy chủ web và mạng của bạn được bảo mật. Không đáp ứng tuân thủ PCI sẽ dẫn đến việc mất tài khoản người bán của bạn và bị cấm có tài khoản người bán thực sự vĩnh viễn. Điều đó sẽ hạn chế bạn sử dụng bộ xử lý của bên thứ ba kém linh hoạt hơn. Hãy nhớ rằng các hướng dẫn PCI là một khởi đầu tốt nhưng hầu như không phải là "cách thực hiện" khi nói đến bảo mật trực tuyến. Mục tiêu của bạn là vượt quá đề xuất (rất nhiều).
3) Các luật cụ thể của tiểu bang và quốc gia thay thế việc tuân thủ PCI. Nếu bạn bị vi phạm và số thẻ tín dụng bị đánh cắp, bạn có nguy cơ bị truy tố hình sự. Các luật khác nhau giữa các bang và liên tục thay đổi do các nhà lập pháp chỉ mới bắt đầu nhận ra mức độ nghiêm trọng của một vấn đề.
Trong chừng mực mã hóa, hãy đảm bảo rằng bạn đã đọc được thuật toán mã hóa nào an toàn và chưa bị phá vỡ. Blowfish là một khởi đầu tốt và nếu bạn sử dụng PHP, hãy truy cập thư viện mcrypt được khuyến nghị ( ví dụ ).
