Платежные Процессоры - Что я должен знать, хочу ли я принять кредитные карты на своем веб-сайте? [закрытый]
В Java все переменные, которые вы объявляете, на самом деле являются «ссылками» на объекты (или примитивы), а не самими объектами.
При попытке выполнить один метод объекта , ссылка просит живой объект выполнить этот метод. Но если ссылка ссылается на NULL (ничего, нуль, void, nada), то нет способа, которым метод будет выполнен. Тогда runtime сообщит вам об этом, выбросив исключение NullPointerException.
Ваша ссылка «указывает» на нуль, таким образом, «Null -> Pointer».
Объект живет в памяти виртуальной машины пространство и единственный способ доступа к нему - использовать ссылки this. Возьмем этот пример:
public class Some {
private int id;
public int getId(){
return this.id;
}
public setId( int newId ) {
this.id = newId;
}
}
И в другом месте вашего кода:
Some reference = new Some(); // Point to a new object of type Some()
Some otherReference = null; // Initiallly this points to NULL
reference.setId( 1 ); // Execute setId method, now private var id is 1
System.out.println( reference.getId() ); // Prints 1 to the console
otherReference = reference // Now they both point to the only object.
reference = null; // "reference" now point to null.
// But "otherReference" still point to the "real" object so this print 1 too...
System.out.println( otherReference.getId() );
// Guess what will happen
System.out.println( reference.getId() ); // :S Throws NullPointerException because "reference" is pointing to NULL remember...
Это важно знать - когда больше нет ссылок на объект (в пример выше, когда reference и otherReference оба указывают на null), тогда объект «недоступен». Мы не можем работать с ним, поэтому этот объект готов к сбору мусора, и в какой-то момент VM освободит память, используемую этим объектом, и выделит другую.
9 ответов
Я прошел этот процесс не к давно с компанией, на которую я работал, и я планирую прохождение через него снова скоро с моим собственным бизнесом. Если у Вас есть некоторые сетевые технические знания, это действительно не это плохо. Иначе Вы будете более обеспеченным использованием PayPal или другой тип сервиса.
процесс запускается путем получения торговый счет установка и связанный с банковским счетом. Можно хотеть согласовать банком, потому что много крупных банков предоставляет торговые услуги. Можно быть в состоянии получить соглашения, потому что Вы уже - их клиент, но в противном случае тогда можно присмотреться к ценам. Если Вы планируете принятие, Обнаруживают или American Express, те будут отдельными, потому что они предоставляют торговые услуги для своих карт, нет обходящих это. Также существуют другие особые случаи. Это - процесс приложения, быть подготовленным.
Следующий Вы захотите купить сертификат SSL , что можно использовать для обеспечения связи для того, когда информация о кредитной карте передается по сетям общего пользования. Существует много поставщиков, но мое эмпирическое правило должно выбрать тот, который является фирменным знаком в некотором роде. Чем лучше они известны, тем лучше Ваш клиент, вероятно, услышал о них.
Следующий Вы захотите найти платежный шлюз использовать с Вашим сайтом. Хотя это может быть дополнительным в зависимости от того, насколько большой Вы, но большинство времени это не будет. Вам будет нужен тот. Платежные поставщики шлюза позволяют говорить с API интернет-шлюза, с которым Вы свяжетесь. Большинство поставщиков предоставляет HTTP или связи TCP/IP с их API. Они обработают данные кредитной карты от Вашего имени. Два поставщика , Авторизовывают. Сеть и PayFlow Pro. Ссылка, которую я предоставляю ниже, имеет еще некоторую информацию о других поставщиках.
Теперь, что? Для начинающих существуют инструкции по тому, чего должно придерживаться Ваше приложение для передачи транзакций. Во время процесса получения все устанавливает, кто-то посмотрит на Ваш сайт или приложение и удостоверится, что Вы придерживаетесь инструкций, как использование SSL и что у Вас есть условия использования и документация политики относительно того, что информацию пользователь дает Вам, используется для. Не крадите это из другого сайта. Придумайте свое собственное, наймите адвоката, если Вы должны. Большинство этих вещей подпадает под ссылку Безопасности данных PCI Michael, предоставленный в его вопросе.
, Если Вы планируете хранение номеров кредитных карт, тогда Вы лучше быть готовыми поместить некоторые меры безопасности на месте внутренне для защиты информации Удостоверяетесь сервер, на котором хранится информация, только доступно для участников, у которых должен быть доступ. Как любая хорошая безопасность, Вы делаете вещи в слоях. Чем больше слоев Вы помещаете на месте, тем лучше. Если Вы хотите Вас, может использовать безопасность типа брелока, как SecureID или eToken для защиты комнаты, в которой находится сервер. Если Вы не можете позволить себе маршрут брелока, то используйте два ключевых метода. Позвольте человеку, у которого есть доступ к комнате для выписывания ключа, который соглашается с ключом, который они уже несут. Им будут нужны оба ключа для доступа к к комнате. Затем Вы защищаете коммуникацию к серверу с политиками. Моя политика состоит в том, что единственной вещью, связывающейся с ним по сети, является приложение и что информация шифруется. Сервер не должен быть доступным ни в какой другой форме. Для резервных копий я использую truecrypt для шифрования объемов, к которым будут сохранены резервные копии. Каждый раз, когда данные удаляются или хранятся где-то в другом месте, с другой стороны Вы используете truecrypt для шифрования объема, данные идут. В основном, где когда-либо данные, они должны быть зашифрованы. Удостоверьтесь, что все процессы для того, чтобы достигнуть данные несут следы аудита. используйте журналы для доступа к серверной, используйте камеры, если Вы можете и т.д... Другая мера должна зашифровать данные кредитной карты в базе данных. Это удостоверяется, что данные могут только быть просмотрены в Вашем приложении, где можно осуществить, кто видит информацию.
я использую pfsense для моего брандмауэра. Я выполняю его от компактной карты флэш-памяти и имею две установки серверов. Каждый для, заменяют для дублирования.
я нашел этот сообщение в блоге Rick Strahl, который помог чрезвычайно понять выполнение электронной коммерции и что это берет для принятия кредитных карт через веб-приложение.
ну, это оказалось длинным ответом. Я надеюсь эти подсказки справка.
Спросите себя следующий вопрос: , почему Вы хотите сохранить номера кредитных карт во-первых ? Возможности состоят в том, что Вы не делаете. На самом деле, если Вы делаете , хранят их и умеют иметь один украденный, Вы могли бы смотреть на некоторую серьезную ответственность.
я записал приложение, которое действительно хранит номера кредитных карт (так как транзакции были обработаны офлайн). Вот хороший способ сделать это:
- Получают сертификат SSL!
- Создают форму для получения CC# от пользователя.
- Шифруют часть (не все!) CC# и хранилища это в Вашей базе данных. (Я предложил бы средние 8 цифр.) Используют метод устойчивого шифрования и секретный ключ.
- Отправляют остаток по почте от CC# тому, кто бы ни обрабатывает Ваши транзакции (вероятно, самостоятельно) с идентификатором человека для обработки.
- , Когда Вы войдете в систему позже, Вы введете в идентификаторе и отправленной по почте части CC#. Ваша система может дешифровать другую часть и повторно объединиться для получения полного числа, таким образом, можно обработать транзакцию.
- Наконец, удалите запись онлайн. Мое параноидальное решение состояло в том, чтобы перезаписать запись со случайными данными перед удалением, для удаления возможности восстанавливания после удаления.
Это походит на большую работу, но никогда не записывая полный CC# нигде, Вы делаете ее чрезвычайно трудно для хакера для нахождения чего-либо значения на веб-сервере. Доверяйте мне, это стоит душевного спокойствия.
Документ PCI 1.2 просто вышел. Это дает процесс для того, как реализовать соответствие PCI наряду с требованиями. Можно найти полный документ здесь:
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
, Короче говоря, создает сегмент отдельной сети для того, какой бы ни серверы будут выделены хранению информации о CC (обычно сервер (серверы) БД). Изолируйте данные как можно больше и удостоверьтесь, что только минимальный доступ, необходимый для доступа к данным, присутствует. Зашифруйте его при хранении его. Никогда не храните PAN. Произведите чистку старых данных и поверните Ваши ключи шифрования.
Пример Don'ts:
- не позволяют той же учетной записи, которая может, общая информация поиска в базе данных искать информацию о CC
- не сохраняет Вашу базу данных CC по тому же физическому серверу как Ваш веб-сервер.
- не позволяют внешний (Интернет) трафик в Ваш сегмент сети базы данных CC.
DOS В качестве примера:
- Использование отдельная учетная запись Базы данных для запросов информации о CC
- Запрещает весь но необходимый трафик к серверу базы данных CC через брандмауэр/списки доступа
- , Ограничивают доступ к серверу CC к ограниченной группе авторизованных пользователей.
Существует много к целому процессу. Единственный самый легкий способ сделать это состоит в том, чтобы использовать сервисы, подобные PayPal, так, чтобы Вы никогда на самом деле обработали любые данные кредитной карты. Кроме этого, существует довольно мало материала для движения до, утверждены для предложения обслуживания кредитных карт на веб-сайте. Необходимо, вероятно, говорить с банком и людьми, которые выпускают торговый идентификатор для помощи Вам в установке процесса.
Поскольку другие упомянули, что самый легкий путь в эту область с использованием Paypal, контроль Google или Nochex. Однако, если Вы намереваетесь к существенному количеству бизнеса, можно хотеть искать "обновление" до высокоуровневых сервисов интеграции сайта такой как WorldPay, NetBanx (Великобритания) или Neteller (США) . Все эти сервисы довольно легко настроить. И я знаю, что Netbanx предлагает удобную интеграцию в часть из от решений для магазинной тележки полки такой как Межмагазин (потому что я записал некоторым из них). Кроме того Вы смотрите на прямую интеграцию с банковскими системами (и их системы APAX), но это твердо, и в той точке также необходимо доказать Компаниям по выпуску кредитных карт обработку номеров кредитных карт надежно (вероятно, не достойный рассмотрения, если Вы не берете ценность k за 100$ в месяц).
Работа от 1-го для длительности стоимости/преимуществ состоит в том, что ранние опции намного легче (более быстрый/более дешевый) для установки помещенный, Вы оплачиваете довольно высокую стоимость обработки заказа каждую транзакцию. более поздние являются намного более дорогостоящими для установки, но Вы платите меньше в конечном счете.
другое преимущество большинства не выделенных решений состоит в том, что Вы не должны сохранять зашифрованные номера кредитных карт безопасными. Это - чужая проблема:-)
Я хотел бы добавить нетехнический комментарий, о котором вы можете подумать
Некоторые из моих клиенты управляют сайтами электронной коммерции, включая пару, которые имеют умеренно большие магазины. Оба из них, хотя они, конечно, могли бы реализовать платежный шлюз, выбирают не слишком, они берут номер чека, временно сохраняют его в зашифрованном виде и обрабатывают его вручную.
Они делают это из-за большого числа случаев мошенничества, и ручная обработка позволяет им принять дополнительные проверки перед заполнением заказа. Мне сказали, что они отклоняют чуть более 20% всех своих транзакций - обработка вручную, безусловно, занимает дополнительное время, и в одном случае у них есть сотрудник, который делает только операции, но затраты на оплату его зарплаты, очевидно, меньше, чем их риск, если они только что передали номера cc через онлайн-шлюз.
Оба этих клиента поставляют физические товары с ценой перепродажи, поэтому особенно уязвимы и для таких предметов, как программное обеспечение, где мошенническая продажа не приведет к какой-либо реальной потере, ваш пробег будет меняться, но стоит рассмотреть технические аспекты онлайн-шлюза выше, если вы действительно хотите реализовать их.
РЕДАКТИРОВАТЬ: И с момента создания этого ответа я бы хотел добавить предостерегающий рассказ и сказать, что время прошло, когда это было хорошей идеей.
Почему? Потому что я знаю другого контакта, который использовал подобный подход. Данные карты были сохранены в зашифрованном виде, доступ к веб-сайту осуществлялся по протоколу SSL, а номера были удалены сразу после обработки. Как вы думаете, безопасно?
Ни один компьютер в их сети не заразился трояном регистрации ключей. В результате они были определены как источник нескольких подделок кредитных карт - и, как следствие, были наказаны большим штрафом.
В результате этого я сейчас никогда не советую никому обращаться с кредитными картами самостоятельно. Платежные шлюзы с тех пор стали намного более конкурентоспособными и экономически эффективными, а меры по борьбе с мошенничеством улучшились. Риск теперь больше не стоит.
Я мог бы удалить этот ответ, но я думаю, что лучше оставить его отредактированным как предостерегающий рассказ.
В результате этого я сейчас никогда не советую никому обращаться с кредитными картами самостоятельно. Платежные шлюзы с тех пор стали намного более конкурентоспособными и экономически эффективными, а меры по борьбе с мошенничеством улучшились. Риск теперь больше не стоит.
Я мог бы удалить этот ответ, но я думаю, что лучше оставить его отредактированным как предостерегающий рассказ.
В результате этого я сейчас никогда не советую никому обращаться с кредитными картами самостоятельно. Платежные шлюзы с тех пор стали намного более конкурентоспособными и экономически эффективными, а меры по борьбе с мошенничеством улучшились. Риск теперь больше не стоит.
Я мог бы удалить этот ответ, но я думаю, что лучше оставить его отредактированным как предостерегающий рассказ.
Зачем беспокоиться о соответствии PCI? В лучшем случае вы будете экономить на процентах от платы за обработку. Это один из тех случаев, когда вы должны быть уверены, что именно этим вы и хотите заниматься, находясь в авангарде разработки и с течением времени, чтобы соответствовать последним требованиям.
В нашем случае наиболее разумно было используйте защищенный от подписки шлюз и соедините его с торговой учетной записью. Абонентский шлюз позволяет пропустить все требования PCI и ничего не делать, кроме как правильно обработать транзакцию.
Мы используем TrustCommerce в качестве нашего шлюза и довольны их обслуживанием / ценой. У них есть код для нескольких языков, что делает интеграцию довольно простой.
Убедитесь, что вы справились с дополнительной работой и бюджетом, необходимыми для PCI. PCI может потребовать огромных гонораров за внешний аудит и внутренних усилий / поддержки. Также помните о штрафах / пени, которые могут быть наложены на вас в одностороннем порядке, часто несоразмерно масштабам «правонарушения».
Имейте в виду, что использование SSL для отправки номера карты из браузера на сервер похоже на прикрывая номер своей кредитной карты большим пальцем, когда вы передаете карту кассиру в ресторане: ваш большой палец (SSL) не позволяет другим клиентам в ресторане (сети) видеть карту, но как только карта оказывается в руках кассир (веб-сервер) карта больше не защищена обменом SSL, и кассир может делать что угодно с этой картой. Доступ к сохраненному номеру карты может быть остановлен только службой безопасности на веб-сервере. То есть большинство краж карт в сети происходит не во время передачи, а в результате взлома плохой безопасности сервера и кражи баз данных.