支付处理器-我需要知道什么，如果我想接受我的网站上的信用卡？

整个过程有很多。最简单的方法是使用类似paypal的服务，这样你就不会实际处理任何信用卡数据。除此之外，要获得批准在你的网站上提供信用卡服务，还有很多事情要做。你可能应该和你的银行谈谈，以及给你发商户ID的人帮助你设置这个过程。

正如其他人提到的，进入这一领域最简单的方法是使用贝宝， 谷歌结帐或Nochex。然而，如果你想要大量的业务，你可能希望“升级”到更高级别的站点集成服务，如WorldPay， NetBanx(英国)或Neteller(美国)。所有这些服务都很容易设置。我知道Netbanx提供了方便的集成到一些现成的购物车解决方案，如Intershop(因为其中一些是我写的)。除此之外，你可以考虑与银行系统(以及他们的APAX系统)直接集成，但这很难，而且在这一点上，你还需要向信用卡公司证明你正在安全地处理信用卡号码(如果你没有每月10万美元的收入，可能不值得考虑)。

从第一个到最后一个的成本/好处是，早期的选择更容易(更快/更便宜)设置，让你为每笔交易支付相当高的手续费。后期的设置成本要高得多，但从长远来看你付出的更少。

大多数非专用解决方案的另一个优点是，您不需要保持加密的信用卡号码的安全。那是别人的问题:-)

不久前，我在一家公司工作时经历了这个过程，我打算很快在自己的公司再经历一次。如果你有一些网络技术知识，它真的没有那么糟糕。否则，你最好使用Paypal或其他类型的服务。

这个过程首先得到一个商户账户 .设置，并与你的银行账户绑定。你可能想和你的银行核实一下，因为很多大银行都提供商业服务。你可能会得到优惠，因为你已经是他们的客户，但如果不是，那么你可以货比三家。如果你打算接受Discover或American Express，它们将是分开的，因为它们为卡提供商户服务，这是无法回避的。还有其他特殊情况。这是一个申请过程，请做好准备。

接下来，你将需要购买一个SSL证书，当信用卡信息通过公共网络传输时，你可以使用它来保护你的通信。有很多供应商，但我的经验法则是选择一个在某种程度上是品牌名称的供应商。你对他们的了解越深，你的客户对他们的了解就越深。

接下来你需要找到一个支付网关来使用你的站点。虽然这取决于你的体型大小，但大多数时候都不是这样。你需要一个。支付网关供应商提供了一种与您将与之通信的Internet网关API对话的方法。大多数供应商通过API提供HTTP或TCP/IP通信。他们将代表您处理信用卡信息。两个供应商是授权。网和PayFlow职业。我下面提供的链接有其他供应商的更多信息。

现在怎么办呢?对于初学者来说，有一些关于应用程序必须遵守哪些传输事务的指导方针。在设置所有内容的过程中，有人会查看您的站点或应用程序，并确保您遵守了指导方针，例如使用SSL，并且您有关于用户提供的信息的用途的使用条款和策略文档。不要从其他网站窃取。你自己想吧，如果需要请个律师。这些内容大部分都属于Michael在他的问题中提供的PCI数据安全链接。

如果你打算存储信用卡号码，那么你最好准备好在内部采取一些安全措施来保护这些信息。确保存储信息的服务器只能被需要访问的成员访问。就像任何好的安全措施一样，你要分层处理。层次越多越好。如果你愿意，你可以使用密钥链类型的安全，如美国或eToken来保护服务器所在的房间。如果你负担不起钥匙链的方法，那就使用双钥匙的方法。允许进入房间的人在钥匙上签字，钥匙与他们已经携带的钥匙一起签发。他们需要两把钥匙才能进入房间。接下来，使用策略保护与服务器的通信。我的策略是，通过网络与它通信的唯一东西是应用程序，并且该信息是加密的。服务器不能以任何其他形式访问。对于备份，我使用truecrypt加密备份将保存到的卷。无论何时数据被删除或存储在其他地方，都可以使用trucrypt加密数据所在的卷。基本上，无论数据在哪里，都需要加密。确保所有获取数据的过程都带有审计跟踪。使用日志来访问服务器室，如果可以的话使用摄像头，等等……另一种措施是加密数据库中的信用卡信息。这确保数据只能在应用程序中查看，在应用程序中可以强制谁可以查看信息。

我的防火墙使用pfsense。我用一个小型闪存卡运行它，并设置了两个服务器。一个是冗余故障转移。

我发现了Rick Strahl的博客，它极大地帮助我理解做电子商务以及通过web应用程序接受信用卡。

这是一个很长的答案。我希望这些建议能有所帮助。

问自己以下问题:首先为什么要存储信用卡号码?很可能你不知道。事实上，如果你做存储它们，并设法有一个被盗，你可能会看到一些严重的责任。

我写了一个存储信用卡号码的应用程序(因为交易是离线处理的)。这里有一个好方法:

• 获取SSL证书!
• 创建一个表单从用户处获取CC#。
• 加密CC#的一部分(不是全部!)并将其存储在数据库中。(我建议是中间的8位数。)使用强加密方法和密钥。
• 将CC#的其余部分发送给处理您的事务的人(可能是您自己)，并附上要处理的人的ID。
• 当您稍后登录时，您将输入ID和CC#的邮寄部分。您的系统可以解密另一部分并重新组合以获得完整的数字，以便您可以处理交易。
• 最后，删除在线记录。我偏执的解决方案是在删除之前用随机数据覆盖记录，以消除未删除的可能性。

这听起来工作量很大，但由于从未在任何地方记录完整的CC#，黑客很难在你的web服务器上找到任何有价值的东西。相信我，这值得你安心。

PCI 1.2文档刚刚发布。它给出了一个如何实现PCI合规性和需求的过程。你可以在这里找到完整的文档:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

长话短说，为专门存储CC信息的服务器(通常是DB服务器)创建一个单独的网段。尽可能地隔离数据，并确保只存在访问数据所需的最小访问权限。存储时加密。不要存储PAN。清除旧数据并旋转加密密钥。

不该做的事:

• 不要让可以在数据库中查找一般信息的同一个帐户查找CC信息。
• 不要把你的CC数据库和你的web服务器放在同一个物理服务器上。
• 不要允许外部(Internet)流量进入CC数据库网段。

Dos示例:

• 使用单独的数据库帐户查询CC信息。
• 禁止通过防火墙/access-lists访问CC数据库服务器
• 将CC服务器的访问限制为一组有限的授权用户。

我想补充一个非技术的评论，你可能会想一下

我的几个客户经营着电子商务网站，其中包括一对拥有中等规模商店的夫妇。这两者，虽然他们当然可以实现支付网关，但他们选择不，他们获取cc号，将其临时加密在线存储，并手动处理。

他们这样做是因为欺诈的高发率和人工处理允许他们在填写订单之前进行额外的检查。我被告知他们拒绝了20%多一点的交易——手工处理当然需要额外的时间，在一个案例中，他们有一个员工除了处理交易什么都不做，但如果他们只是通过在线网关传递抄送号码，支付他的工资的成本显然比他们的风险要小。

这两个客户端都提供具有转售价值的实物商品，因此特别容易暴露，对于像软件这样的产品，欺诈性销售不会导致任何实际损失，但如果您真的想要实现在线网关，则值得考虑在线网关的技术方面。

编辑:既然给出了这个答案，我想加上一个警世故事，说这是一个好主意的时代已经过去了。

为什么?因为我知道另一个线人也在用类似的方法。信用卡的详细信息被加密存储，网站通过SSL访问，处理后立即删除号码。你觉得安全吗?

他们的网络上没有一台机器受到密钥日志木马的感染。结果，他们被认定为几张伪造分数信用卡的来源，并因此受到了巨额罚款。

因此，我现在从来没有建议任何人处理信用卡自己。自那以后，支付网关变得更具竞争力和成本效益，欺诈措施也得到了改进。现在冒险已经不值得了。

我可以删除这个答案，但我认为最好还是编辑一下，作为一个警世故事。

为什么要为PCI遵从性而烦恼??你最多可以省下百分之一的手续费。在这种情况下，你必须确保这是你想要在开发初期和随着时间的推移跟上最新需求的时间所做的事情。

在我们的例子中，使用订阅保存网关并将其与商家帐户配对是最有意义的。订阅保存网关允许您跳过所有PCI合规性，只做适当的事务处理。

我们使用TrustCommerce作为我们的门户，并对他们的服务/定价感到满意。他们有很多语言的代码，使得集成非常容易。

一定要了解PCI所需的额外工作和预算。PCI可能需要巨额的外部审计费用和内部努力/支持。此外，要注意可能单方面对你征收的罚款/处罚，通常与“违法行为”的规模不成比例。

记住,使用SSL发送信用卡号码从浏览器到服务器就像覆盖你的信用卡号码用拇指当你手卡在餐厅收银员:拇指(SSL)防止其他顾客在餐厅(净)看到了卡,但是一旦卡手中的收银员(web服务器)卡不再保护SSL交换,和收银员可以做任何卡。对已保存卡号的访问只能由web服务器上的安全性阻止。也就是说，网络上的大多数卡片盗窃并不是在传输过程中进行的，而是通过突破糟糕的服务器安全性和窃取数据库来完成的。