【发布时间】:2015-04-26 13:10:13
【问题描述】:
我维护了一个内部网络应用程序,供公司员工(代理和簿记员)使用,用于客户关系管理 (CRM),没有在线销售/购买,所有付款处理都是通过终端亲自完成以接受信用卡付款。有时,后续付款必须在以后远离客户处理。
这是我的场景: 工作人员代理接听电话并要求接受客户希望使用的信用卡付款,但由于代理无法通过终端进行付款(只有簿记员可以),他们记下了该信息并将此便条交给簿记人员稍后在终端上运行信用卡付款。
当然,这是一种不安全的信用卡信息传输方法,因为任何人都可以以纯文本形式看到便利贴上写的内容,包括办公室清洁工等。当付款最终由簿记员运行并销毁时碎纸机。
无论如何,我收到了一个临时存储此信息的请求,直到簿记员运行它并从数据库中删除。我找不到有关临时存储的具体信息,希望有人能帮助我指明正确的方向,或者让我更好地了解应该采取的做法或是否有第三方可以使用。
到目前为止,我认为是加密 cc 数据并存储在 db 中,直到簿记员单击删除,在这种情况下它将从数据库中删除。
最后的说明;我正在使用 PHP/MySQL 和 javascript 前端。
感谢您的帮助。
【问题讨论】:
-
别这样!你会与PCI requirements 发生冲突,它们冗长、复杂,最重要的是,代价高昂。
-
其他选项是什么?便笺只是不要剪它
-
作为开发人员,您的选择是将与存储信用卡信息相关的问题提交给当权者,让他们决定他们希望如何前进。
-
这很公平,但是您知道我可以提供任何第三方解决方案吗?
-
通过 Stripe、Paypal 或其他有能力处理这些问题的供应商创建一个安全、符合 PCI 的支付门户。这意味着您的网络应用程序将充当终端,并且必须对员工进行有关如何收取这些款项的培训。
标签: javascript php mysql