接受网站上的信用卡/ PayPal延迟处理

Question

我正试图在我的网站上建立一个基本的系统，以接受信用卡延迟处理。我要做的是为一群人收集一堆订单/信用卡，然后经过一段时间后，我将需要处理这些卡片并支付费用。

这是为了使一组人可以单独下他们的订单，知道他们的卡将在X天内处理，一旦每个人都下了他们的订单。

我的问题是，做这件事最好的方法是什么？我想确保我是接受签证/万事达卡/美国运通卡和可能的发现卡。此外，有了这个系统，我们是否可以接受缴费员的资料，然后我便可以处理这些资料，而不是他们的缴费账账户的信用卡？

此外，什么是最好的方式存储这些信用卡。显然，一个安全的DB和一个使用SSL提交订单的页面，但是我需要接受什么呢？很明显，卡号，CVV，过期月份，过期年份，这一切都可以在数据库中规范化。您对加密/解密这些卡有何建议？我需要对它们进行解密，以便稍后进行处理。

任何关于我的问题的建议都是很好的。

Answer 1

关于存储信用卡详细信息的简短回答:不要

有关良好的讨论，请参见存储信用卡详细信息。

Answer 2

尽可能避免存储信用卡数据。有大量的法律问题围绕它(例如，几乎没有情况下，你可以存储CVV)，你开放自己的责任，如果你的网站曾经被黑客攻击。

如果你必须走这条路，首先你应该熟悉PCI DSS，这是存储卡数据的标准(至少在英国是一项法律要求)。您还需要与您的主机进行检查，以确保它们符合PCI (也就是说，它们具有必要的物理安全级别，保护存储这些数据的服务器)。

一些支付网关提供了一种授权--即现在付费--稍后支付的功能，您可以在其中提交卡的详细信息和金额，然后他们将唯一的令牌发送回您可以安全存储的令牌。然后，如果希望执行事务，则在稍后的日期重新提交此令牌。这样，您仍然可以提供您的延迟付款，但不必存储任何敏感数据，所以这是我建议调查。

编辑:我相信Authorize.net是一个很大的美国网关--他们的“高级集成”API只有授权模式，我在上面描述了这个模式，尽管令牌最多只能持续30天。所以也许这对你有用。

Answer 3

不知道为什么这个很老的问题会被打断，但是如果有人在这个问题上绊倒了，我会补充一些当时不存在但可能很有用的东西。

对于那些希望这样做的人，并且还没有选择信用卡处理器，您可能会考虑使用条带。

他们的(广泛的，有良好文档的)API允许您在他们的平台上存储信用卡的详细信息，而不需要通过您的数据(因此这避免了所有的PCI DSS安全审计要求)，但是信用卡输入仍然完全集成在您的网站中。

Stripe然后返回卡的令牌(或客户，因为您可以为单个客户存储多张卡)，然后您可以在需要处理收费时使用它。