Sto costruendo un'app che deve accettare pagamenti con carta di credito con qualcosa come active merchant. In termini di sicurezza, è possibile che viva su heroku e usi authorize.net (o simile) come gateway di pagamento?È possibile effettuare pagamenti con carta di credito da un server heroku utilizzando activemerchant?
E se fosse necessario memorizzare i numeri delle carte di credito?
Modifica
non sarebbe l'inoltro agli utenti di authorize.net.
La semplice risposta è sì, credo di sì, ma oltre a ciò dipende.
È possibile impostare le variabili di ambiente per vari tasti e altri valori relativi al servizio di terze parti (http://docs.heroku.com/config-vars), o semplicemente controllarli e distribuirli.
Se si utilizza il servizio di pagamento ospitato per authorize.net e inoltrato al proprio sito, non è necessario utilizzare ssl. Se si ospiterà il modulo in cui vengono inviati il numero di carta di credito e le informazioni personali, quindi inoltrandolo a authorize.net tramite la propria API sul server, è necessario impostare ssl per heroku (http://docs.heroku.com/ssl) in modo che il modulo sia sicuro.
Ora, una cosa è accettare il pagamento tramite carte di credito e basta passarlo, è un altro per salvare i numeri delle carte di credito e altre informazioni private. Senza indicarti vari documenti relativi agli standard di sicurezza (vale a dire PCI DSS), ti dirò semplicemente che, a meno che tu non sia assolutamente obbligato, non conservare i numeri CC e le relative informazioni personali, semplicemente inoltrati al gateway e assicurati di non registrazione di quei campi (http://guides.rubyonrails.org/security.html#logging). Se è necessario memorizzare i dati della carta di credito, penso che sia necessario avere un maggiore controllo del database e del server per raggiungere la conformità, e non conosco un host cloud generale come AWS o heroku che è possibile utilizzare e fare questo (forse qualche altro utente SO mi correggerà). L'utilizzo di un gateway di pagamento come authorize.net, tuttavia, può portarti lì.
Vorrei anche sottolineare che diversi stati ora hanno leggi sull'archiviazione di dati sensibili (come MA, dove vivo), quindi ancora un altro motivo per evitare di farlo a meno che non sia essenziale per il modello di business.
Per un po 'datato, ma buona discussione generale di conformità PCI, guarda qui: http://broadcast.oreilly.com/2009/02/pci-in-the-cloud.html
"Se si ha bisogno di inoltrare i dati delle carte di credito" vuol dire "archivio dati della carta di credito"? – James
sì, intendevo la risposta modificata dal punto vendita. Grazie. –
Sono curioso: la maggior parte dei gateway di pagamento richiede indirizzi IP per il server. Come funziona per le app ospitate da heroku, poiché hanno tutte lo stesso record A (proxy.heroku.com) –