將信用卡信息發送到節點

Question

所以我正在考慮使用dibs payment

分期付款

所以我找到了以下節點包裝器： Node.js的DIBS API包裝器

但是，這需要我通過郵寄請求將信用卡信息發送到我的節點服務器。

我的問題是：這樣安全嗎？ 如果不是的話，我如何確保它是安全的？ 這樣請求就不會被不需要的各方入侵

Answer 1

他們提供了所謂的“托管付款窗口”（ http://tech.dibspayment.com/D2/Hosted ）。 在這種情況下，所有數據將直接發送到DIBS，而無需發送到服務器。 它是大多數應用程序的首選解決方案。

如果您要將信用卡數據發送到服務器，則需要確保它不會泄漏（請參閱https://www.pcisecuritystandards.org/ ）。 這是一個很大的主題（通常，主要是關於服務器和網絡基礎結構的）。

Answer 2

我沒用過Dibs，但是我用過Stripe ..

我認為Dibs將以相同的方式進行操作。 這是因為除非您的公司已獲得認可，否則您將無法通過Internet接受信用卡詳細信息，而據我收集，這可能會花費數千美元。

基本上，信用卡信息不會發送到您的服務器，但是說Stripe附帶的Javascript庫將數據直接發送到Stripe（IOW：繞過您的服務器），然后Stripe返回一個令牌，然后將該令牌發送到您的Server，這是您隨后用來借記金錢等的令牌。

這意味着您和用戶的瀏覽器之間絕不會發送任何信用卡信息。 這是一個重要的區別，因為除非獲得您的認可，否則將任何信用卡信息存儲在服務器上都是非法的，並且這包括在內存存儲中。

快速瀏覽DIB，看來它並沒有這樣做。 因此請注意，如果您處理抄送詳細信息，則最好就此檢查您當地的法律，甚至在DIB的網站上說這也是。

網上商店有責任遵守現行法規。 如果不確定您的網上商店是否包含必需的信息，請聯系您的收單行。

弄錯上述情況，並且根據您來自哪個國家/地區，您可能會受到重罰，甚至更糟。 :)

更新：就像@Peteris提到的那樣，DIB可以執行托管選項，然后類似於Stripe，並將卡詳細信息發送到DIB，然后DIB的服務器與您的站點聯系。

Answer 3

商戶處理CC信息的標准做法（如果有的話）是（a）在傳輸中加密的（因此，未加密的連接或對不安全協議的回退，例如必須禁用SSL3），以及（b）根本不存儲在任何地方-不在您的數據庫，沒有任何日志； 進行交易並確保完整的抄送信息被銷毀或匿名化，例如，您可能經常看到的用星號代替中間的6位數字。

更為常見的做法是確保您和您的系統永遠不會看到完整的持卡人數據，並委托他人來處理安全處理。