Seperti disebutkan di atas, jangan menyimpan informasi kartu kredit dalam database. Ini adalah resep untuk masalah. Melakukannya akan membuat Anda menjadi target yang sangat menarik bagi peretas dan, jika mereka berhasil mengambilnya, bisnis Anda akan berakhir dan berpotensi menghancurkan hidup Anda serta kehidupan orang-orang yang nomor kartu kreditnya dicuri.
Karena itu, berikut adalah tiga hal yang perlu dipertimbangkan:
1) Taruhan terbaik Anda adalah menggunakan pemroses pembayaran/gerbang pembayaran yang menawarkan penagihan berulang. Contohnya adalah Authorize.Net's Automated Recurring Billing melayani. Setelah Anda mengatur langganan, mereka akan secara otomatis menagih pengguna setiap bulan untuk Anda secara otomatis dan memberi tahu Anda hasil transaksi. Ini menghemat banyak pekerjaan dan membebaskan Anda dari kewajiban menyimpan informasi kartu kredit.
2) Jika Anda menyimpan nomor kartu kredit toko, Anda harus mengikuti pedoman PCI . Pedoman ini ditetapkan oleh industri kartu pembayaran dan menentukan apa yang dapat dan tidak dapat Anda lakukan. Ini juga mendefinisikan bagaimana informasi kartu kredit harus disimpan. Anda perlu mengenkripsi nomor kartu kredit dan Anda harus, tetapi tidak diharuskan, mengenkripsi informasi terkait (tanggal kedaluwarsa, dll). Anda juga akan diminta untuk memastikan bahwa server web dan jaringan Anda aman. Gagal memenuhi kepatuhan PCI akan mengakibatkan kehilangan akun pedagang Anda dan dilarang memiliki akun pedagang yang sebenarnya selamanya. Itu akan membatasi Anda untuk menggunakan prosesor pihak ketiga yang kurang fleksibel. Ingatlah bahwa pedoman PCI adalah awal yang baik tetapi bukan "cara" dalam hal keamanan online. Sasaran Anda adalah melampaui rekomendasi (banyak).
3) Undang-undang khusus negara bagian dan negara menggantikan kepatuhan PCI. Jika Anda mengalami pelanggaran dan nomor kartu kredit dicuri, Anda berisiko dituntut pidana. Hukum bervariasi dari satu negara bagian ke negara bagian dan terus berubah karena pembuat undang-undang baru mulai menyadari betapa seriusnya masalah ini.
Sejauh enkripsi berjalan, pastikan Anda membaca algoritma enkripsi mana yang aman dan belum rusak. Blowfish adalah awal yang baik dan jika Anda menggunakan PHP perpustakaan mcrypt direkomendasikan (contoh ).
