it-swarm.com.de

Sollte ich die Kreditkarteninformationen eines Benutzers automatisch speichern?

Ist es falsch von mir, die Karteninformationen eines Benutzers automatisch zu speichern, ohne ihn zu fragen?

Aktualisieren:

Ich verwende Stripe , damit die Kartendaten niemals unsere Server berühren. Die alleinige Verwendung von Stripe macht eine Site nicht vollständig PCI-kompatibel, aber die Site, an der ich arbeite, ist PCI-kompatibel.

Ich hätte das auch erwähnen sollen, aber die Seite, an der ich arbeite, verkauft Abonnements - und sonst nichts. Ich würde mir vorstellen, dass ein Benutzer in diesem Fall davon ausgehen muss, dass wir seine CC-Informationen behalten, wenn wir sie uns geben (andernfalls könnten wir sie nicht jeden Monat in Rechnung stellen).

Abgesehen davon war der Anwendungsfall, über den ich mich wunderte, die Situation, in der wir, nachdem wir bereits ein einzelnes Abonnement von der Website gekauft haben, automatisch die CC-Informationen dieses Benutzers eingeben, wenn er ein anderes kauft.

10
Peter Berg

Sie sollten niemals Kreditkarteninformationen, Client oder Server speichern, es sei denn, Sie sind PCI-konform. PCI steht für Payment Card Industry . Sie können ihre Website anzeigen hier . Der Standard, an den wir uns alle beim Umgang mit Kreditkarten halten, ist der PCI DSS (Payment Card Industry Data Security Standard) .

Sie können umgehen, dass Sie PCI-konform sein müssen, wenn Sie einen Drittanbieter verwenden, der PCI-konform ist, um die gesamte Verarbeitung und Speicherung Ihrer Kreditkarte zu übernehmen. Ich habe CyberSource verwendet und es war eine ziemlich nette Lösung:

Ich habe gerade einen Iframe erstellt, dessen Quelle auf eine Seite in meinem Netzwerk festgelegt wurde, die nur ein Kreditkartenformular war. Beim Senden wurde es nicht in meinem Netzwerk, sondern in CyberSource veröffentlicht. Wenn CyberSource die Übermittlung verarbeitete, kehrte sie zu einer bestimmten Seite in meinem Netzwerk zurück, auf der das Ergebnis verarbeitet wurde, um den Benutzer zu aktualisieren. Auf diese Weise wurden die Kreditkartendaten nie in mein Netzwerk eingegeben, sodass ich PCI-konform war.

Verwenden Sie als Randnotiz für die Clientseite das autocomplete="off" Attribut für alle sensiblen Felder.


Bearbeiten Sie gemäß Ihrem Update

Da Sie jetzt die Site angegeben haben, an der Sie arbeiten ist PCI-konform, ändert sich die Frage dann in eine mehrteilige Frage von sollten Sie:

  1. Informieren Sie Ihre Benutzer über eine Nachricht, bevor sie sich für das Abonnement anmelden?
  2. Geben Sie Ihren Benutzern die Möglichkeit, ihre Informationen zu speichern oder automatisch auszufüllen?
  3. Sagen Sie den Benutzern nichts, basierend auf der Implikation, was ein Abonnement per Definition ist?

Meine Erfahrung war so, dass # 2 das ist, was viele Benutzer bevorzugen. Ich bin auf viele Fälle gestoßen, in denen Eltern oder Freunde ihre Kreditkarten verwendet haben, um jemandem zu helfen, und nicht genau möchten, dass ihre Informationen dort aufbewahrt werden, wo sie von dieser Person wieder verwendet werden könnten.

In einem Abonnement werden nun wiederkehrende Zahlungen impliziert, und das Speichern von Karteninformationen wird entweder von der Website oder vom Verarbeiter impliziert. Hier könnten Sie wahrscheinlich am besten mindestens Nummer 1 tun, um den Benutzer darüber zu informieren, was Sie mit seinen Informationen tun werden.

24
Code Maverick

Sie könnten nicht fragen, aber es ist wichtig, informieren

Andernfalls können rechtliche Probleme auftreten, wenn diese gespeicherten Daten jemals kompromittiert wurden. Erstens gibt es das Problem, dass die Daten kompromittiert wurden. Zweitens gibt es das Problem, dass der Benutzer nicht ordnungsgemäß darüber informiert wurde, dass die Daten gespeichert wurden. Sie könnten dies zu Ihrer Seite mit den allgemeinen Geschäftsbedingungen hinzufügen, aber wenn Sie es an einer prominenteren Stelle (d. H. Auf der Zahlungsseite) platzieren, wird dies offensichtlich.

Es passiert jeden Tag. Wenn ich es wäre, würde ich nichts retten. Insgesamt müssen Sie den Komfortfaktor (für den Benutzer) gegen den Aufwand abwägen, der zum Sichern der Daten erforderlich ist. PCI-Konformität ist eine große Sache.

4
Xavier J

Ja, es ist falsch, die CC-Informationen eines Benutzers ohne Aufforderung zu speichern. Stellen Sie sich einfach die einfache Frage, wie würden Sie sich fühlen, wenn eine Site Ihre CC-Informationen beibehalten würde, ohne es Ihnen mitzuteilen.

Wenn Sie nicht fragen, ob Sie den Benutzer ausnutzen, und wenn der Benutzer herausfindet, dass Sie etwas hinter seinem Rücken tun, können Sie ihn möglicherweise verlieren.

Dort stellt sich die Frage, wofür Sie die CC-Informationen verwenden werden.

2
zaph

Wir verwenden einen Zahlungsanbieter. Wir sehen die Kreditkarteninformationen nie, geben Informationen zu Betrag und Bestellnummer an den Zahlungsanbieter weiter und erhalten eine Transaktionsnummer zurück, wenn der Kunde gültige Informationen eingibt.

Diese Transaktionsnummer geben wir dann zum Versandzeitpunkt an den Zahlungsanbieter weiter und das Geld wird auf unser Konto überwiesen. (In unserem Land ist es nicht gestattet, das Geld zu überweisen, bevor die Ware versendet wird.)

Bei normalen Transaktionen kann die Transaktionsnummer nur bis zu dem vom Kunden autorisierten Betrag freigegeben werden. Wir können weniger verlangen, wenn ein Artikel nicht vorrätig ist.

Für ein Abonnement erhalten wir einen Token, der verwendet werden kann, wenn wir eine Zahlung wünschen. Dieses Token ist für uns einzigartig und kann nicht von anderen verwendet werden. Daher muss es nicht besonders sicher als Kreditkartennummer gespeichert werden. Dies bedeutet auch, dass der Kunde den Zahlungsanbieter dazu bringen kann, das Token zu kündigen, wenn eine Website ein Abonnement abgeschlossen und sich geweigert hat, es zu kündigen, ohne die Karte kündigen zu müssen.

Wenn Ihr Zahlungsanbieter genauso funktioniert, sollten Sie niemals die Kreditkartennummer speichern müssen, Sie haben nicht einmal die Möglichkeit.

1
Lenne

Da es sich um eine Abonnement-Site handelt, ist es meines Erachtens in Ordnung, die Informationen zu speichern, aber Sie müssen auch ordnungsgemäß damit umgehen, wenn Sie den Benutzern die Möglichkeit geben, die gespeicherten CC-Informationen zu verwenden. Etwas wie "Sie haben bereits eine wiederkehrende Zahlung bei uns, Ihr Abonnement für XYZ - möchten Sie, dass wir dieses Abonnement derselben Karte belasten?"

1
René Rasmussen